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前 言 


全 国 计 算 机 技术 与 软件 专业 技术 资格 (水 平 ) 考 试 自 实施 起 至 今 已 经 历 了 二 十 多 年 , 在 社 
会 上 产生 了 很 大 的 影响 ， 其 权威 性 得 到 社会 各 界 的 广泛 认可 。 为 了 适应 我 国信 息 化 发 展 的 
需求 ， 国 家 人 力 资源 和 社会 保障 部 同 工 业 和 信息 化 部 在 2009 年 对 网 络 工程 师 级 别 考试 大 纲 
进行 了 重新 调整 ， 以 满足 社会 上 对 各 种 信息 技术 人 才 的 需求 。 本 书 第 1 版 自 2005 年 出 版 以 
来 ， 被 众多 考生 选用 为 考试 参考 书 ， 多 次 重印 ， 深 受 广大 读者 好 评 。 本 书 第 3 版 、 第 2 版 
对 第 1 版 同名 书 进行 了 修订 。 根 据 网 络 新 技术 的 发 展 ， 第 4 版 依据 最 新 教程 进行 修订 ， 并 
将 最 新 考试 真题 贯穿 其 中 。 为 了 帮助 考生 复习 迎 考 ， 修 订 后 本 书 的 特色 如 下 。 

(1) 知识 点 全 面 。 本 书 与 最 新 网 络 工程 师 考试 大 纲 考试 科目 2 一 一 网 络 系统 设计 与 管理 
基本 一 致 ， 又 兼顾 网 络 技术 发 展 和 知识 更 新 ， 对 属于 大 纲要 求 的 知识 点 但 指定 教材 没有 并 
述 的 部 分 进行 了 必要 的 补充 。 

(2) 结构 与 官方 教程 同步 。 本 书 参考 最 新 指定 官方 教程 、 最 新 考试 大 纲 及 最 新 题 型 纺 
写 章 名 、 节 名 ， 便 于 考生 使 用 《网 络 工程 师 教程 (第 5 版 )》 进 行 同步 复习 ， 同 时 更 加 突出 重 
点 与 难点 ， 针 对 性 强 ， 减 轻 考生 复习 的 工作 量 。 

(3) 例题 与 习题 经 典 。 最 近 四 年 (2014 一 2017 年 )8 次 考试 真题 全 部 被 分 类 解析 到 例题 中 ， 
并 在 其 中 增加 了 根据 最 新 考试 大 纲 精心 设计 的 例题 ， 这 些 例题 均 具 有 典型 性 和 代表 性 ， 而 
2014 年 及 之 前 的 考试 真题 被 分 类 归 入 同步 练习 中 ， 使 考生 能 从 以 前 的 考题 中 更 好 地 了 解 考 
试 的 难度 与 广度 ， 顺 利 地 通过 考试 。 

(4) 重点 突出 。 第 4 版 沿袭 前 两 版 的 框架 ， 每 一 小 节 分 为 4 个 模块 : 考点 辅导 、 典 型 
例题 分 析 、 同 步 练 习 和 同步 练习 参考 答案 。 其 中 ， 考 点 辅导 部 分 主要 以 专题 的 方式 ， 重 点 
介绍 网 络 工程 师 下 午 考试 所 需 的 各 个 方面 的 知识 ; 典型 例题 分 析 是 本 书 的 重点 ， 它 详尽 细 
致 地 剖析 了 所 有 近 四 年 (2014 一 2017 年 ) 的 真题 和 例题 ; 同步 练习 中 的 每 一 道 题 都 配 有 标准 的 
答案 ， 对 读者 所 学 的 知识 和 能 力 可 起 到 巩固 、 拓 宽 和 提高 的 作用 。 

(5) 语言 更 准确 ， 概 念 更 清晰 ， 能 覆盖 所 有 大 纲 考点 ， 并 突出 重点 、 难 点 。 

(6) 对 书 中 所 有 例题 与 习题 进行 了 精 选 ， 确 保 所 有 题目 符合 考纲 要 求 。 例 题 选取 典型 、 
有 梯度 、 有 广度 ， 分 析 详 尽 ， 题目 的 难 易 度 、 分 布 率 与 真实 考试 相当 ; 题目 答案 正确 、 解 
析 科学 。 

本 书 可 作为 备考 网 络 工程 师 的 考生 的 辅导 用 书 ， 也 可 作为 高 等 院 校 相关 专业 或 培训 班 
的 教材 。 

本 书 由 刘 立 军 、 宋 白玉 担任 主编 ， 石 鲁 生 、 重 建 芳 、 史 国 川 担任 副 主编 ， 参 与 本 书 组 
织 、 编 写 和 资料 收集 的 还 有 谢 瑜 、 周 胜 、 鲁 磊 纪 、 杨 章 静 、 刁 爱 军 、 陈 海峰 、 赵 蛤 、 吴 敏 、 
王 华 君 、 陶 佳 、 徐 国明 、 何 光明 等 。 在 此 对 原作 品 作者 及 全 体 参与 人 员 表示 吏 心 的 感谢 。 
在 本 书 编写 的 过 程 中 ， 参 考 了 许多 相关 的 书籍 和 资料 ， 从 中 汲取 了 许多 营养 ， 在 此 也 对 这 些 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


参考 文献 的 作者 表示 感谢 。 需 要 特别 感谢 的 是 来 自 互联 网 的 各 位 不 知道 姓名 的 网 友 们 的 无 
私 奉献 ， 正 是 由 于 你 们 ， 才 使 本 书 的 内 容 更 完善 、 更 详尽 。 

由 于 时 间 仓促 和 作者 水 平 所 限 ， 书 中 难免 存在 错漏 和 不 妥 之 处 ， 敬 请 广大 读者 批评 指 
正 。 联 系 邮箱 : iteditor@126.com。 
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大 纲要 求 : 


ee ee 4 


人 @ 多 


应 用 需求 分 析 ， 包 括 应 用 需求 的 调研 、 网 络 应 用 的 分 析 。 

现 有 网 络 系统 分 析 ， 包 括 现 有 网 络 系统 结构 调研 、 现 有 网 络 体系 结构 分 析 。 
需求 分 析 ， 包 括 功能 需求 、 通 信 需 求 、 性 能 需求 、 可 靠 性 需求 、 安 全 需求 、 维 护 
和 运行 需求 、 管 理 需求 。 

技术 和 产品 的 调研 及 评估 ， 包 括 收集 信息 、 采 用 的 技术 和 产品 的 比较 研究 、 采 用 
的 技术 和 设备 的 比较 要 点 。 

网 络 系统 的 设计 ， 包 括 确定 协议 、 确 定 拓扑 结构 、 确 定 连 接 ( 链 路 的 通信 性 能 )、 确 
定 节点 (节点 的 处 理 能 力 )、 确 定 网 络 的 性 能 、 确 定 可 靠 性 措施 、 确 定安 全 性 措施 、 
网 络 设备 的 选择 、 制 定 选择 标准 、 通 信子 网 的 设计 、 资 源 子 网 的 设计 。 

新 网 络 业务 运营 计划 。 

设计 评审 。 

安装 工作 。 

测试 和 评估 。 

转换 到 新 网 络 的 工作 计划 。 

用 户 措施 ， 包 括 用 户 管理 、 用 户 培训 、 用 户 协商 。 

制订 维护 和 升级 的 策略 和 计划 ， 包 括 确定 策略 、 设 备 的 编 址 、 审 查 的 时 间 、 升 级 
的 时 间 。 

维护 和 升级 的 实施 ， 包 括 外 部 合同 要 点 、 内 部 执行 要 点 。 

备份 与 数据 恢复 ， 包 括 数据 的 存储 与 处 置 、 备 份 、 数 据 恢复 

网 络 系统 的 配置 管理 ， 包 括 设备 管理 、 软 件 管理 、 网 络 配置 图 。 

网 络 系统 的 监视 ， 包 括 网 络 管理 协议 (SNMP、MIB-2、RMON)、 利 用 工具 监视 网 
络 性 能 、 利 用 工具 监视 网 络 故障 、 利 用 工具 监视 网 络 安全 (入 侵 检测 系统 )、 性 能 监 
视 的 检查 点 、 安 全 监视 的 检查 点 。 

故障 恢复 分 析 ， 包 括 故 障 分 析 要 点 (LAN 监控 程序 )、 排 除 故障 要 点 、 故 障 报告 的 
撰写 要 点 。 

系统 性 能 分 析 ， 包 括 性 能 要 点 。 

危害 安全 的 对 策 ， 包 括 危 害 安全 的 情况 分 析 、 入 侵 检测 要 点 、 对 付 计 算 机 病毒 的 
要 点 。 

系统 评价 ， 包 括 系统 能 力 的 限制 、 潜 在 的 问题 分 析 、 系 统 评价 要 点 。 

改进 系统 的 建议 ， 包 括 系统 生命 周期 、 系 统 经 济 效益 、 系 统 的 可 扩充 性 。 
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1.1 网 络 系统 的 需求 分 析 


1.1.1 考点 辅导 


1.1.1.1 应 用 需求 分 析 

1. 应 用 需求 的 调研 

需求 分 析 是 构建 网 络 的 第 一 个 阶段 ， 通 过 需求 分 析 ， 可 以 帮助 网 络 设计 者 更 好 地 理解 
网 络 功能 ， 更 好 地 评价 现 有 网 络 ， 更 客观 地 做 出 决策 ， 有 助 于 为 网 络 设计 者 提供 更 加 完善 
的 交互 功能 和 移植 功能 ， 使 其 更 合理 地 使 用 用 户 资源 等 。 

应 用 需求 的 调研 内 容 包 括 应 用 系统 性 能 、 信 息 产 生 和 接收 点 、 数 据 量 和 频 度 、 数 据 类 
型 和 数据 流向 等 。 

1) “应 用 系统 性 能 

用 户 系统 中 的 应 用 有 许多 类 型 ， 其 中 一 些 应 用 在 整个 系统 中 占有 相当 重要 的 地 位 。 应 
用 系统 的 性 能 往往 是 用 户 最 为 关注 的 ， 常 见 的 性 能 指标 包括 可 靠 性 /可 用 率 、 响 应 时 间 、 安 
全 性 、 可 实现 性 和 实时 性 等 。 

2) “信息 产生 和 接收 点 
网 络 上 的 信息 流 都 有 其 产生 和 接收 的 位 置 , 产生 信息 的 称 为 源 ,接收 信息 的 则 称 为 宿 ( 即 
目的 )。 在 进行 需求 分 析 时 ， 分 清 信息 的 源 和 宿 是 非常 必要 的 。 
3) ”数据 量 和 频 度 
网 络 中 的 通信 类 型 包括 数据 、 视 频 信 号 和 音频 信号 等 ， 不 同类 型 的 流量 使 用 不 同 的 量 
度 。 数 据 的 流量 一 般 用 平均 或 高 峰 时 每 秒 传送 的 位 数 (比特 每 秒 ， 简 写 为 bps) 来 表示 ; 视频 
信号 的 流量 用 电视 通道 数 来 表示 ， 每 个 通道 占 6 MHz 带宽 ， 音 频 信号 的 流量 则 用 欧 拉 数 来 
表示 。 

频 度 是 指数 据 在 单位 时 间 内 传送 的 次 数 ， 不 同类 型 的 数据 ， 传 送 的 频 度 不 同 。 

流量 估计 应 该 先 分 析 用 户 的 网 络 应 用 ， 分 别 估计 每 种 应 用 产生 的 分 流量 ， 然 后 再 把 各 
种 分 流量 乘 以 频 度 ， 累 计 得 出 系统 的 总 流量 。 

准确 的 流量 估计 可 以 避免 网 络 系统 因 带 宽 过 窗 而 形成 瓶颈 ， 导 致 网 络 吞 吐 量 和 性 能 的 
下 降 ， 因 此 ， 对 网 络 通 信 业 务 量 的 估计 必须 留 有 足够 的 余 量 。 

4) ”数据 类 型 和 数据 流向 

网 络 服务 一 般 分 为 3 种 : 共享 数据 服务 、 综 合 语音 服务 和 多 媒体 应 用 服务 。 其 中 共享 
数据 服务 是 最 常见 的 业务 ， 综 合 语音 服务 主要 是 电话 类 业务 ， 而 多 媒体 应 用 服务 则 包括 语 
音 、 图 形 、 图 像 等 多 种 服务 。 不 同 的 服务 有 不 同 的 数据 类 型 。 

数据 流向 是 指数 据 流传 输 的 方向 ， 在 客户 机 /服务 器 工作 模式 中 ， 数 据 的 流向 既 可 以 是 
客户 机 到 服务 器 的 ， 也 可 以 是 服务 器 到 客户 机 的 。 
因此 ， 网 络 设计 人 员 必 须根 据 用 户 具 体 的 应 用 情况 ， 详 细 分 析 网 络 承载 的 数据 类 型 和 
数据 流向 ， 合 理 地 分 配 网 络 容量 。 
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2. 网 络 应 用 的 分 析 
网 络 的 主要 功能 是 通过 数据 传输 实现 数据 共享 ， 目 前 应 用 在 科研 、 教 育 、 金 融 证 券 、 
企业 管理 、 制 造 、 办 公 自 动 化 、 电 子 商务 、 家 庭 娱 乐 等 许多 领域 。 
网 络 应 用 按照 响应 时 间 可 以 分 为 两 种 ， 实 时 应 用 和 非 实 时 应 用 。 不 同 的 应 用 有 着 不 同 
的 网 络 响应 性 能 需求 ， 对 网 络 延迟 和 带宽 有 不 同 的 影响 。 

实时 应 用 要 求 将 节点 机 产生 的 数据 立即 传送 出 去 ， 一 般 不 需要 用 户 干预 。 实 时 应 用 要 
求 信息 传输 的 速率 稳定 ， 具 有 可 预测 性 。 令 牌 传递 网 络 ( 令 牌 环 网 或 FDDD 和 面向 连接 的 服 
务 ( 如 ATM) 可 以 为 这 些 应 用 提供 支持 ， 但 在 网 络 分 析 与 设计 中 通常 不 考虑 实时 应 用 。 

通常 所 说 的 应 用 指 的 是 非 实时 应 用 ， 此 类 应 用 对 网 络 带宽 和 数据 传输 能 力 的 要 求 比较 
高 ， 当 暂时 争 用 不 到 网 络 介质 时 ， 只 要 介质 可 以 承受 任何 突 发 性 的 数据 收发 任务 ， 非 实时 
应 用 就 不 会 出 现 问题 。 所 以 ， 这 种 应 用 适合 于 类 似 以 太 网 的 共享 介质 网 络 。 

另外 ， 按 照应 用 是 否 共享 ， 又 可 以 把 应 用 分 为 独立 应 用 和 共享 应 用 两 种 类 型 。 

不 同 的 应 用 对 网 络 功能 和 性 能 方面 的 需求 不 同 ， 网 络 设计 人 员 应 对 网 络 应 用 需求 加 以 
分 析 ， 以 便 确 定 网 络 的 应 用 目标 及 其 他 相关 指标 。 


1.1.1.2” 现 有 网 络 系统 分 析 
1. 现 有 网 络 系统 结构 调研 


如 果 需 要 在 已 有 网 络 上 构建 新 系统 ， 那 么 就 应 该 全 面 了 解 现 有 网 络 情况 ， 尽 可 能 考虑 
旧 系统 的 利用 ， 这 样 既 可 以 保护 用 户 原 有 投资 ， 又 能 让 用 户 在 使 用 新 系统 时 有 一 个 平滑 的 
过 渡 ， 从 而 大 大 节省 培训 的 时 间 和 费用 。 

网 络 系统 的 建设 一 般 需要 分 成 几 个 阶段 来 实施 ， 每 个 阶段 都 是 在 前 期 网 络 的 基础 之 上 
进行 的 ， 不 可 能 完全 抛弃 现 有 网 络 。 因 此 ， 必 须 对 现 有 网 络 进行 仔细 调研 ， 以 考查 在 原 有 
网 络 中 哪些 部 分 是 可 以 利用 的 ， 哪 些 部 分 是 需要 升级 的 ， 哪 些 部 分 是 无 用 而 必须 舍弃 的 。 
重点 考查 的 内 容 有 以 下 几 个 方面 。 

1) “服务 器 的 数量 和 位 置 

服务 器 是 网 络 中 提供 专门 服务 的 设备 ， 是 网 络 中 的 稀缺 资源 ， 新 网 络 应 该 尽量 将 它们 
包括 进去 。 在 建设 新 网 络 之 前 ， 需 要 了 解 清楚 服务 器 的 台数 、 位 置 、 型 号 、 使 用 的 软件 、 
提供 的 服务 类 型 以 及 其 他 各 项 性 能 指标 。 

2) ”客户 机 的 数量 和 位 置 

客户 机 是 用 户 使 用 网 络 服务 的 窗口 ， 有 的 客户 机 只 供 单 个 用 户 使 用 ， 而 有 的 则 供 多 人 
使 用 (如 图 书馆 的 查询 机 );， 另外， 在 客户 机 上 运行 的 应 用 系统 有 差别 ， 对 网 络 服 务 的 需求 也 
不 一 样 。 网 络 中 包含 的 客户 机 的 数量 及 承担 的 任务 决定 了 网 络 的 负载 ， 因 而 有 关 客 户 机 的 
信息 对 网 络 系统 的 设计 也 非常 重要 ， 新 建 网 络 时 必须 仔细 考虑 它们 。 

3) ”使 用 情况 

网 络 的 使 用 情况 包括 客户 机 的 数量 、 访 问 类 型 、 每 天 的 用 户 数 、 每 次 使 用 的 时 间 、 每 
次 数据 传输 的 数据 量 、 网 络 拥塞 的 时 间 段 等 ， 这 些 数据 都 可 以 通过 查询 网 络 管理 系统 的 日 
志文 件 获得 。 如 果 没 有 完整 的 日 志 数据 ， 也 可 以 通过 与 用 户 交谈 获得 有 用 信息 。 这 些 数据 
虽然 不 需要 十 分 准确 ， 但 其 准确 性 将 影响 今后 网 络 的 设计 方案 。 
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4) “采用 的 协议 

协议 是 网 络 通信 的 基础 , 原 有 网 络 可 能 包含 有 多 种 协议 , 协议 间 存 在 着 一 定 的 差异 。 这 
就 需要 进行 详细 的 调查 ,以便 新 建 网 络 时 能 够 很 好 地 照顾 到 多 种 协议 间 的 差异 ,以 方便 不 同 
协议 数据 之 间 的 转换 。 

5) 通信 模式 

通信 模式 就 是 用 户 接 入 网 络 的 方式 。 网 络 设计 要 兼顾 各 种 通信 模式 。 

2. 现 有 网 络 体系 结构 分 析 
网 络 体系 结构 是 定义 和 描述 一 组 用 于 计算 机 及 其 通信 设备 之 间 互 联 的 标准 和 规范 的 集 
合 ， 遵 循 这 组 规范 就 可 以 实现 计算 机 设备 之 间 的 通信 。 目 前 有 两 大 主流 体系 结构 标准 : 一 
个 是 国际 标准 OSI( 开 放 系统 互联 ) 参 考 模型 ， 另 一 个 是 工业 标准 TCP/IP 模型 。 

OSI 参考 模型 通过 分 层 和 抽象 , 将 网 络 划分 为 七 个 功能 各 异 的 层次 , 同一 端 系统 中 的 低 
层 为 高 层 提供 服务 ， 不 同 端 系 统 中 的 对 等 层 之 间 进 行 通信 并 交换 协议 数据 单元 。 它 是 一 个 
开放 系统 模型 ， 概 念 清晰 ， 但 偏重 于 理论 研究 ， 复 杂 而 不 实用 ， 目 前 实现 的 范例 还 较 少 。 

TCP/IP 简化 了 OSI 参考 模型 的 分 层 结构 ， 层 次 明显 减少 ， 实 现 简单 ， 功 能 强大 ， 目 前 
为 大 多 数 厂商 支持 ， 已 成 为 网 络 通信 协议 事实 上 的 标准 ， 并 已 得 到 普遍 的 推广 。 其 他 还 有 
IBM 的 系统 网 络 体系 结构 (SNA) 和 DEC 的 数字 网 络 体系 结构 (DNA) 等 。 

通过 对 现 有 网 络 体系 结构 进行 分 析 ， 可 以 为 建设 新 网 络 提供 参考 依据 。 同 时 在 设计 新 
网 络 时 也 应 该 照顾 到 原 有 网 络 的 体系 结构 ， 尽 量 发 挥 其 优势 ， 而 不 应 该 完全 抛弃 。 

1.1.1.3 ”需求 定义 


网 络 系统 的 需求 包括 功能 需求 、 通 信和 需求 、 性 能 需求 、 可 靠 性 需求 、 安 全 需求 、 维 护 
和 运行 需求 以 及 管理 需求 等 ， 下 面 逐 一 介绍 。 

1. 功能 需求 

功能 需求 即 网 络 在 用 户 单位 业务 中 应 该 提供 的 功能 ， 可 以 通过 了 解 用 户 单位 所 从 事 的 
行业 、 该 单位 在 行业 内 的 地 位 以 及 和 其 他 单位 的 关系 等 来 确定 其 功能 需求 。 另 外 ， 还 可 以 
通过 了 解 项 目 背 景 来 明确 用 户 单位 建 网 的 目的 ， 从 而 有 助 于 描述 详细 的 功能 需求 。 

2. 通信 需求 

在 网 络 中 ， 网 络 通 信和 是 个 人 通信 模式 和 流量 的 组 合 。 通 信和 模式 以 发 生 在 节点 (客户 机 ) 
之 间 的 通信 方式 为 基础 。 通 常 有 以 下 几 种 通信 方式 。 

”对 等 通信 方式 。 

”客户 机 /服务 器 通信 方式 。 

4 ”服务 器 /客户 机 通信 方式 。 

独立 节点 之 间 可 以 在 一 种 或 多 种 方式 下 通信 ， 如 何 选择 通信 方式 取决 于 网 络 的 资源 、 
节点 和 应 用 程序 的 性 能 。 例 如 ， 在 对 等 通信 方式 下 ， 各 工作 站 之 间 可 共享 资源 ; 在 客户 机 / 
服务 器 通信 方式 下 ， 可 以 访问 中 央 文 件 服务 器 上 的 核心 数据 库 。 

1) ”对 等 通信 方式 

对 等 通信 方式 是 在 一 种 结构 和 功能 相似 的 节点 之 间 的 通信 ， 通 信 节 点 具有 相似 的 应 用 
和 通信 能 力 。 在 该 种 网 络 中 ， 每 个 节点 与 网 络 中 的 其 他 节点 相连 接 ， 没 有 明显 的 源 通信 模 


第 1 章 网 络 系统 规划 和 设计 


式 和 目的 通信 模式 。 

2) “客户 机 /服务 器 通信 方式 

客户 机 /服务 器 通信 方式 是 网 络 中 的 客户 机 和 服务 器 之 间 的 通信 。 客 户 机 可 以 是 任何 类 
型 的 节点 ， 这 些 节点 可 以 访问 一 些 共享 的 资源 。 服 务 器 在 大 小 和 功能 上 有 所 不 同 ， 既 可 以 
是 基于 PC 的 服务 器 ， 也 可 以 是 中 型 计算 机 和 大 型 计算 机 。 

3) ”服务 器 /客户 机 通信 方式 

数据 库 服 务 器 应 用 程序 使 数据 从 服务 器 流向 客户 机 。 通 常情 况 下 ， 客 户 机 请 求 比 服务 
器 响应 所 传送 的 通信 量 要 少 。 例 如 ， 在 典型 的 Web 方案 中 ， 服 务 器 根据 客户 机 浏览 器 的 请 
求 向 客户 机 发 送 大 量 的 Web 页 面 ， 这 就 是 所 说 的 服务 器 /客户 机 分 布 。 

4) ”相关 指标 

为 了 确定 用 户 的 通信 和 需求， 需要 了 解 用 户 单位 的 建筑 物 布局 、 入 网 站 点 的 分 布 情况 ， 
并 记录 下 述 信息 。 

8 ”网 络 中 心 (或 计算 中 心 ) 及 各 级 设备 间 的 位 置 。 

98 ”用 户 数 量 及 其 位 置 。 

4 ”任何 两 个 用 户 之 间 的 最 大 距离 。 

98 ”用 户 群 组 织 ( 即 在 同一 楼 里 或 同一 楼 层 里 的 用 户 ， 尤 其 注意 那些 地 理 上 分 散 ， 却 属 

于 同一 部 门 的 用 户 )。 
4 特殊 的 需求 或 限制 (例如 ， 网 络 履 盖 的 地 理 范 围 内 是 否 有 道路 、 山 丘 ， 建 筑 物 之 间 
是 否 有 阻挡 物 ， 电 缆 等 介质 布线 是 否 有 禁区 ， 是否 存 在 可 以 利用 的 介质 系统 等 )。 

3. 性 能 需求 

在 需求 分 析 中 要 分 析 网 络 的 多 种 性 能 特性 ， 包 括 响应 时 间 、 延 迟 、 等 待 时 间 、 利 用 率 、 
带宽 、 容 量 、 吞 吐 量 、 可 用 性 、 可 靠 性 、 可 恢复 性 、 宛 余 度 、 适 应 性 、 可 伸缩 性 、 效 率 和 
费用 等 。 有 些 需求 用 户 不 是 很 关心 ， 但 对 于 设计 者 却 是 必须 考虑 的 。 随 着 计算 机 网 络 数量 
的 增长 、 规 模 的 扩大 ， 如 何 提高 网 络 性 能 成 为 十 分 重要 的 问题 。 与 衡量 单机 系统 的 性 能 不 
同 ， 网 络 性 能 是 衡量 多 台 计 算 机 系统 的 性 能 。 了 解 网 络 用 户 的 需要 ， 设 定 恰当 的 性 能 目标 ， 
合理 选择 网 络 结构 和 组 成 ， 便 能 得 到 满足 用 户 需求 且 性 能 比较 好 的 网 络 。 

网 络 用 户 关 心 的 网 络 性 能 是 能 否 获得 最 快 的 响应 ， 网 络 管理 员 关心 的 网 络 性 能 是 能 否 
获得 最 高 的 资源 利用 率 ， 两 者 需要 很 好 地 平衡 。 这 种 平衡 包括 两 个 方面 : 一 方面 是 性 能 和 
价格 的 折 中 ， 另 一 方面 是 吞吐 量 和 响应 时 间 的 平衡 。 

4. 可 靠 性 需求 
可 靠 性 需求 就 是 用 户 需要 什么 样 的 可 靠 性 。 一 个 系统 的 可 靠 性 定义 为 在 指定 的 条 件 和 
时 间 内 ， 系 统 能 够 实现 指定 功能 的 概率 。 而 整个 系统 的 可 靠 性 又 取决 于 组 成 系统 的 各 个 部 
件 的 可 靠 性 。 

可 靠 性 指标 一 般 包括 平均 无 故障 时 间 (MTBF) 和 平均 修复 时 间 (MTTR)、 可 用 性 和 故障 
率 等 。 

5. 安全 需求 

1) ”安全 需求 概述 

网 络 安全 性 包括 对 物理 产品 的 布局 和 对 过 程 的 操作 ， 合 理 的 物理 产品 布局 与 安全 设置 
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可 以 保护 网 络 和 系统 的 完整 性 、 可 行 性 及 可 靠 性 。 现 代 的 网 络 安全 性 是 把 基本 的 网 络 安全 
性 概念 运用 在 分 布 式 网 络 环境 中 。 网 络 安全 性 的 目的 是 对 资源 的 保护 ， 目 前 还 没有 彻底 的 
解决 方法 。 

安全 设计 包括 安全 服务 和 实施 两 方面 。 原 则 上 讲 ， 每 一 个 网 络 系统 都 具有 独立 和 通用 
的 安全 协议 ， 而 基于 安全 服务 的 安全 信息 则 是 存放 在 管理 信息 库 (MIB) 中 的 ， 只 有 授权 人 员 
或 系统 才 可 访问 、 修 改 或 删除 这 些 机 密 信 息 。 通 过 对 网 络 易 损 点 的 识别 ， 可 使 这 些 易 损 点 
得 到 保护 和 监控 ， 要 确保 安全 ， 应 采取 一 种 分 层 管理 策略 。 

安全 性 策略 的 3 个 属性 定义 为 保密 性 、 完 整 性 和 可 信 性 。 信 息 损失 通常 由 以 下 原因 引 
起 : 更 改 、 破 坏 和 泄露 。 对 网 络 安全 构成 威胁 的 形式 有 很 多 ， 而 且 它们 经 常 导致 网 络 失常 
和 重要 信息 的 毁坏 。 

采取 何 种 安全 措施 需要 视 用 户 需要 而 定 ， 不 同 单位 或 一 个 单位 的 不 同 部 门 要 求 的 安全 
等 级 往往 是 有 差异 的 ， 并 不 是 安全 等 级 越 高 越 好 ， 较 高 的 安全 等 级 意味 着 额外 的 系统 开销 
和 高 昂 的 费用 。 

2) ”安全 性 标准 

网 络 系统 是 否 达 到 一 定 的 安全 性 主要 依照 相关 的 安全 性 标准 来 判断 ， 最 早 的 信息 系统 
安全 性 标准 由 美国 国防 部 颁布 的 黄皮书 (TC-SEC-NCSC， 可 信 计 算 机 系统 ) 规 定 。 该 手册 将 
IT 系统 划分 为 A(A1)、B(B1、B2、B3)、C(C1、C2)、D(D1)4 类 ， 共 7 个 安全 等 级 。 

(1) DD 类 安全 等 级 。D 类 安全 等 级 只 包括 D1 一 个 级 别 ，D1 的 安全 等 级 最 低 ， 它 只 为 
文件 和 用 户 提供 安全 保护 。D1 系统 最 常见 的 形式 是 本 地 操作 系统 ， 或 者 是 一 个 完全 没有 保 
护 的 网 络 。 

(2) C 类 安全 等 级 。C 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 审 
计 能 力 。C 类 安全 等 级 可 划分 为 Cl1 和 C2 两 类 。 

(3) B 类 安全 等 级 。B 类 安全 等 级 可 划分 为 B1、B2 和 B3 三 类 。B 类 系统 具有 强制 性 
保护 功能 ， 这 就 意味 着 如 果 用 户 没 有 与 安全 等 级 相连 ， 系 统 就 不 会 让 用 户 存 取 对 象 。 

(4) A 类 安全 等 级 。A 类 系统 的 安全 级 别 最 高 。 目 前 ，A 类 安全 等 级 只 包含 Al 一 个 安 
全 类 别 。Al 类 与 B3 类 相似 ， 对 系统 的 结构 和 策略 不 作 特别 要 求 。Al 系统 的 显著 特征 是 : 
系统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 析 系 统 。 对 系统 进行 分 析 后 ， 设 计 者 必须 
运用 核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开 
发 者 那里 接收 一 个 安全 策略 的 正式 模型 ， 所 有 的 安装 操作 都 必须 由 系统 管理 员 进行 ， 系 统 
管理 员 进 行 的 每 一 步 安 装 操作 都 必须 有 正式 文档 。 

欧洲 等 价 的 分 类 手册 是 ITSEC( 信 息 技术 安全 评估 标准 )。 与 美国 的 黄皮书 类 似 ，ITSEC 
标准 目录 将 IT 系统 划分 为 7 个 安全 等 级 (E0~E6)， 这 些 等 级 与 黄皮书 中 的 各 个 等 级 大 致 
对 应 。 

6. 维护 和 运行 需求 

维护 和 运行 是 网 络 系统 投入 正常 运行 后 的 日 常 管理 工作 ， 这 项 工作 主要 由 网 络 管理 人 
员 承 担 。 网 络 管理 人 员 通 过 网 络 管理 系统 可 以 完成 系统 的 配置 、 监 控 和 统计 等 事务 的 处 理 ， 
有 时 还 要 对 网 络 设备 进行 检修 。 网 络 设计 人 员 需 要 根据 用 户 需求 ， 提 供 必 要 的 网 络 管理 工 
具 和 策略 ， 以 方便 网 络 管理 人 员 对 整个 网 络 进行 管理 和 维护 ， 提 高 网 络 的 运行 效率 ， 保 证 
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网 络 的 可 靠 性 。 

7. 管理 需求 

从 用 户 的 角度 来 讲 ， 一 个 网 络 管理 系统 应 该 满足 以 下 要 求 。 
同时 支持 网 络 监视 和 控制 两 方面 的 能 力 。 
能 够 管理 所 有 的 网 络 协议 。 
尽 可 能 大 的 管理 范围 。 
尽 可 能 小 的 系统 开销 。 
可 以 管理 不 同 厂家 的 联网 设备 。 
容纳 不 同 的 网 络 管理 系统 。 
网 络 管理 的 标准 化 。 

在 OSI 网 络 管理 框架 模型 中 ， 基 本 的 网 络 管理 功能 被 分 为 5 个 功能 域 : 配置 管 
理 (Configuration Management) 、 性 能 管理 (Performance Management)、 故 障 管理 (Fault 
Management)、 安 全 管理 (Security Management) 和 计 费 管理 (Accounting Management)。 

网 络 管理 的 标准 化 产品 包括 ISO 的 CMIS/CMIP(Common Management Information 
Service/Common Management Information Protocol)、Internet 体系 结构 委员 会 (Internet 
Architecture Board，IAB) 的 SNMP 和 管理 信息 库 (MIB)， 这 些 内 容 将 在 第 5 章 详细 介绍 。 
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1.1.2 ”典型 例题 分 析 


例 1 【说 明 】(2017 年 上 半年 下 午 试题 一 ) 

某 企业 网 络 拓扑 如 图 1-1 所 示 , 中 国电 信和 中 国 移动 双 链 路 接 入 , 采用 硬件 设备 实现 链 
路 负载 均衡 主 磁盘 阵列 的 数据 通过 备份 服务 器 到 备份 磁盘 阵列 。 请 结合 下 图 ， 回 答 相关 
问题 。 


设备 @ 


CD 防火 增 核心 交换 机 


服务 器 和 数据 区 域 行政 管理 区 域 


接 入 交换 机 。 办公 电 脑 


备份 磁盘 阵列 | ”| 接 入 交换 机 可 


主 磁盘 阵列 
1-1 某 企 业 网 络 拓扑 


【问题 1】( 共 6 分 ) 
图 1-1 中 ,设备 处 部 署 _(1) _， 设 备 @ 处 部 署 _(2) ,设备 @ 处 部 署 _G3) _。 (1)~ 
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(3) 备 选 答案 (每 个 选项 限 选 一 次 ): 

A. 入 侵 防 御 系 统 (IPS) B. 交换 机 C. 负载 均衡 

【问题 2】( 共 4 分 ) 

图 1-1 中 ， 介 质 四 处 应 采用 _( 和 ， 介 质 @@ 处 应 采用 _(5) 。 

(人 )~(5) 备 选 答案 (每 个 选项 限 选 一 次 ): 

A. 双 绞 线 B. 同 轴 电 缆 C. 光纤 

【问题 3】( 共 4 分 ) 

图 1-1 中 ,为 提升 员工 的 互联 网 访问 速度 ， 通 过 电信 出 口 访问 电信 网 络 ， 移 动 出 口 访问 
移动 网 络 ， 则 需要 配置 基于 _(6) 地 址 的 策略 路 由 ; 运行 一 段 时 间 后 ， 网 络 管理 员 发 现 电 
信 出 口 的 用 户 超过 90%， 网 络 访问 速度 缓慢 ， 为 实现 负载 均衡 ， 网 络 管理 员 配 置 基 于 _(7)_ 
地 址 的 策略 路 由 ， 服 务 器 和 数据 区 域 访问 互联 网 使 用 电信 出 口 ， 行 政 管理 区 域 员 工 访问 互 
联网 使 用 移动 出 口 ， 生 产业 务 区 域 员工 使 用 电信 出 口 。 

【问题 4】( 共 6 分 ) 

1. 图 1-1 中 , 设备 @ 处 应 为 (8) ， 该 设备 可 对 指定 计算 机 系统 进行 安全 脆弱 性 扫描 和 
检测 ， 发 现 其 安全 漏洞 ， 客 观 评估 网 络 风险 等 级 。 

2. 图 1-1 中 ，_(9) 设备 可 对 恶意 网 络 行为 进行 安全 检测 和 分 析 。 

3. 图 1-1 中 ，_ (10) 设备 可 实现 内 部 网 络 和 外 部 网 络 之 间 的 边界 防护 ,依据 访问 规则 ， 
允许 或 者 限制 数据 传输 。 

答案 : 

【问题 1] (1)C CI) A 0G)B 

【问题 2](4) A (5)C 

【问题 3】(6) 目的 ”07) 源 

【问题 4】(8) 漏洞 扫描 设备 ” (9) IPS (10) 防火 墙 

解析 : 

【问题 1】 综 合 分 析 可 知 设备 3 是 交换 机 ， 那 么 设备 2 为 PS， 设备 1 为 负载 均衡 。 

【问题 2】 介质 1 连接 接 入 交换 机 和 用 户 ， 故 为 双 绞 线 。 介 质 2 连接 FC 交换 机 和 磁盘 
阵列 ， 应 为 光纤 。 

【问题 3】 访问 电信 网 络 通过 电信 出 口 ， 移 动 网 络 通过 移动 出 口 ， 这 是 通过 访问 目的 来 
区 分 的 ， 故 是 基于 目的 地 址 的 策略 路 由 。 而 后 根据 访问 人 群 的 划分 更 改 为 基于 源 地 址 的 策 
略 路 由 。 

【问题 4] 漏洞 扫描 通常 是 指 基于 漏洞 数据 库 ， 通过 扫描 等 手段 ， 对 指定 的 远程 或 者 本 
地 计算 机 系统 的 安全 脆弱 性 进行 检查 ,发 现 可 利用 的 漏洞 的 一 种 安全 性 检测 行为 。 在 图 1-1 
中 IPS 设备 对 恶意 网 络 行为 进行 分 析 。 防 火 墙 设备 则 为 内 外 网 之 间 的 安全 保护 屏障 。 

例 2 【说 明 】(2016 年 下 半年 下 午 试题 二 ) 

图 1-2 是 某 互 联网 企业 网 络 拓扑 ， 该 网 络 采用 二 层 结构 ， 网 络 安全 设备 有 防火 墙 、 入 侵 
检测 系统 ， 楼 层 接 入 交换 机 32 台 ， 全 网 划分 17 个 VLAN， 对 外 提供 Web 和 邮件 服务 。 数 
据 库 服务 器 和 邮件 服务 器 均 安装 CentOS 操作 系统 (Linux 平台 )，Web 服务 器 安装 Windows 
2008 操作 系统 。 
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Intemet 


接 入 交换 机 办 公 电脑 
存储 虚拟 化 服务 器 


主 磁盘 阵列 


> 
邮件 服务 器 。 Web 服 务 器 ” 接 入 交换 机 办 公 电 脑 
图 1-2 菜 互联 网 企业 网 络 拓扑 


【问题 1】(6 分 ) 

SAN 常见 方式 有 FC-SAN 和 IP-SAN, 在 图 1-2 中 ,数据 库 服 务 器 和 存储 设备 连接 方式 
为 _Q) ， 邮 件 服务 器 和 存储 设备 连接 方式 为 (2) _。 虚 拟 化 存储 常用 文件 系统 格式 有 
CIFS、NFS， 为 邮件 服务 器 分 配 存储 空间 时 应 采用 的 文件 系统 格式 是 _(3) ， 为 Web 服务 
器 分 配 存 储 空间 时 应 采用 的 文件 系统 格式 是 _(4) _。 

【问题 2】(3 分 ) 

该 企业 采用 RAIDS 方式 进行 数据 元 余 备份 ， 请 从 存储 效率 和 存储 速率 两 个 方面 比较 
RAID1 和 RAIDS5 两 种 存储 方式 ， 并 简要 说 明 采 用 RAID5 存储 方式 的 原因 。 

【问题 3】 (8 分 ) 

网 络 管理 员 接 到 用 户 反映 ， 邮 件 登 录 非 常 缓慢 ， 按 以 下 步骤 进行 故障 诊断 : 

1. 通过 网 管 机 ， 利 用 _(5) ”登录 到 邮件 服务 器 ， 发 现 邮 件 服务 正常 但 是 连接 时 断 

2. 使 用 _(6) 命令 诊 断 邮件 服务 器 的 网 络 连接 情况 ， 发 现 网 络 丢 包 严 重 ， 登 录 服务 器 
区 汇聚 交换 机 SI， 发 现 连接 邮件 服务 器 的 端口 数据 流量 异常 ， 收 发 包 量 很 大 。 

3. 根据 以 上 情况 ， 邮 件 服务 器 的 可 能 故障 为 _(7) _， 应 采用 _(8) 的 办 法 处 理 上 述 
故障 。 

(5) 一 (8) 备 选 答案 : 


(5) A. ping B. ssh C. tracert D. mstsc 

(6) A. ping B. telnet C. tracet D. netstat 

(7) A. 磁盘 故障 。”B. 感染 病毒 C. 网 卡 故障 。“”D. 负荷 过 大 

(8) A. 更 换 磁盘 B. 安装 防 病毒 软件 ， 并 查 杀 病毒 
C. 更 换 网 卡 D. 提升 服务 器 处 理 能 力 
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【问题 4】 (3 分 ) 

上 述 企业 网 络 拓扑 存在 的 网 络 安全 隐患 有 : _ (9) 、_(l10) 、_(ID 。 

(9)~(11) 备 选 答案 ; 

A. 缺少 针对 来 自 局 域 网 内 部 的 安全 防护 措施 

B. 缺少 应 用 负载 均衡 

C. 缺少 流量 控制 措施 

D. 缺少 防 病毒 措施 

E. 缺少 Web 安全 防护 措施 

F. 核心 交换 机 到 服务 器 区 汇聚 交换 缺少 链 路 匈 余 措施 

G. VLAN 划分 太 多 

答案 : 

【问题 1】(1) FC-SAN (2) IP-SAN (3)NFS (4) CIFS 

【问题 2】 

(1) 存储 效率 上 , RAID5 的 存储 利用 率 为 (n-1)/n, RAID1 的 存储 利用 率 为 50%, RAID5 
的 存储 效率 高 。 

(2) 存储 速率 上 ，RAID5 的 速率 快 于 RAID1。 

原因 : RAID5 具有 数据 安全 ， 读 写 速度 快 ， 空 间 利用 率 高 、 成 本 低 的 特点 。 

【问题 3] (5)B (OA (7B (8)B 

【问题 4] (9)A (40D dDE 

解析 : 

【问题 1】 

1. SAN 主要 包含 FC-SAN 和 IP-SAN 两 种 。 

1) 存储 区 域 网 络 (Storage Area Network，SAN): 存储 设备 组 成 单独 的 网 络 ， 大 多 利用 
光纤 连接 ， 采 用 光纤 通道 协议 (Fiber Channel，FC)。 服务 器 和 存储 设备 间 可 以 任意 连接 ，LIO 
请 求 也 是 直接 发 送 到 存储 设备 。 光 纤 通 道 协议 实际 上 解决 了 底层 的 传输 协议 ， 高 层 的 协议 
仍然 采用 SCSI 协议 ， 所 以 光纤 通道 协议 实际 上 可 以 看 成 是 SCSI over FC。 

2) ”IP-SAN: 由 于 FC-SAN 的 高 成 本 使 得 很 多 中 小 规模 存储 网 络 不 能 接受 ， 一 些 人 开 
始 考虑 构建 基于 以 太 网 技术 的 存储 网 络 。 但 是 在 SAN 中 ， 传 输 的 指令 是 SCSI 的 读 写 指令 ， 
不 是 IP 数据 包 。iSCSI( 互 联网 小 型 计算 机 系统 接口 ) 是 一 种 在 TCP/IP 上 进行 数据 块 传输 的 
标准 。 它 是 由 Cisco 和 IBM 两 家 公司 发 起 的 ， 并 且 得 到 了 各 大 存储 厂商 的 大 力 支持 。iSCSI 
可 以 实现 在 卫 网 络 上 运行 SCSI 协议 ， 使 其 能 够 在 诸如 高 速 千 光 以 太 网 上 进行 快速 的 数据 
存 取 备 份 操作 。 为 了 与 之 前 基于 光纤 技术 的 FC-SAN 区 分 开 来 ， 这 种 技术 被 称 为 IP-SAN。 
iSCSI 继承 了 两 大 最 传统 技术 : SCSI 和 TCP/IP 协议 。 这 为 iSCSI 的 发 展 芮 定 了 坚实 的 基础 。 

2. CIFS 和 NFS. 

1) ”CIFS(Common Internet File System) 是 由 Microsoft 在 SMB 协议 的 基础 上 发 展 并 扩展 
到 Internet 上 的 协议 。 它 和 具体 的 OS 无 关 ， 在 UNIX 上 安装 Samba 后 可 使 用 CIFS。 

2) NFSGNetwork File System) 即 网 络 文件 系统 ， 由 Sun 公司 开发 ， 主 要 用 于 UNIX 和 
类 UNIX 系统 ， 在 Windows 上 使 用 则 需要 安装 客户 端 软件 进行 认证 时 的 指令 映射 。 

将 NFS 置 于 Windows 上 , 有 两 种 选择 : Microsoft Services for UNIX (SFU) 和 DiskShare。 
CIFS 采用 C/S 模式 ， 基 本 网 络 协议 : TCP/IP 和 IPX/SPX。 
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【问题 2] 

RAID1 阵列 由 磁盘 对 组 成 ， 因 为 需要 用 作 备份 ， 在 数据 的 安全 性 方面 是 最 好 的 ， 但 是 
只 能 利用 磁盘 总 容量 的 一 半 ， 存 储 效率 只 有 50%， 存 储 性 能 不 高 。RAID5 是 一 种 存储 性 能 、 
数据 安全 和 存储 成 本 兼顾 的 存储 解决 方案 ， 以 九 块 硬盘 构建 的 RAIDS5 阵列 可 以 有 n-1 块 硬 
盘 的 容量 ,磁盘 空间 利用 率 能 达到 (n-1)/n。 在 RAID5 上 , 读 / 写 指针 可 同时 对 阵列 设备 进行 
操作 ， 提 供 了 更 高 的 存储 性 能 。 

【问题 3】 

1. 远程 登录 到 服务 器 做 诊断 或 配置 可 以 通过 Telnet、SSH、 远 程 桌面 等 方式 。 

Telnet 是 C/S 构架 的 服务 ,登录 后 是 命令 行 界面 ,客户 端 和 服务 器 间 的 传输 无 私密 性 保 
护 ， 一 般 用 于 管理 网 络 设备 (如 路 由 器 交换 机 )、Linux 或 UNIX 服务 器 主机 。 

SSH 和 Telnet 类 似 ， 但 是 提供 私密 性 保护 。 

远程 桌面 管理 ， 是 登录 上 服务 器 的 图 形 化 界面 配置 ， 一 般 用 于 登录 Windows 服务 器 主 
机 ， 也 可 以 用 于 登录 Linux 的 图 形 化 界面 配置 ， 但 是 需要 Linux 安装 桌面 组 件 。 

2. 使 用 命令 诊断 邮件 服务 器 的 网 络 连接 情况 ， 发 现 网 络 丢 包 严重 ， 根 据 “ 丢 包 ” 的 文 
字 描 述 ， 应 该 是 ping 命令 。 

3. 交换 机 上 某 个 端口 数据 流量 异常 ， 收 发 包 量 很 大 ， 可 能 的 原因 很 多 ， 比 如 病毒 、 端 
口 或 网 卡 物理 故障 (不 是 彻底 损坏 )、 环 路 导致 广播 风暴 等 , 但 是 只 有 木马 类 病毒 才 会 故意 隐 
藏 自己 而 让 服务 正常 ， 只 是 可 能 木马 窃取 数据 占用 了 大 量 带 宽 导 致 一 些 异 常 。 而 其 他 故障 
都 会 导致 服务 不 正常 ， 所 以 依据 本 题 文字 描述 ， 登 录 服务 器 成 功 ， 服 务 正常 ， 综 合 考虑 ， 
病毒 的 可 能 性 最 大 。 

【问题 4】 

本 题 说 的 是 “网 络 安全 隐患 ", 关于 网 络 的 安全 隐患 和 性 能 以 及 可 用 性 一 定 要 区 别 清楚 ， 
负载 均衡 、 流 量 控制 、 划 分 VLAN 都 是 性 能 方面 的 问题 ， 链 路 宛 余 是 可 用 性 方面 的 问题 ， 
而 防 病毒 、 针 对 Web 的 安全 防护 措施 才 是 安全 方面 的 问题 ， 故 B、C、F、G 体现 的 是 关于 
网 络 可 靠 性 、 可 用 性 的 特征 。 


1.1.3 同步 练习 


1. 网 络 开发 设计 的 整个 过 程 分 为 哪 几 个 阶段 ? 每 个 阶段 各 有 什么 任务 ?请 用 流程 图 的 
方式 说 明 。 

2. 网 络 工程 是 一 项 复杂 的 系统 工程 ， 一 般 可 分 为 网 络 规划 、 网 络 设计 、 工 程 实施 、 系 
统 测试 验收 和 运行 维护 等 几 个 阶段 。 网 络 规划 是 在 需求 分 析 的 基础 上 ， 进 行 系统 可 行 性 分 析 
和 论证 ， 以 确定 网 络 总 体 方案 。 网 络 规划 阶段 任务 完成 之 后 转 入 下 一 阶段 ， 即 网 络 设计 阶段 。 

【问题 】 

(1) 简 述 网 络 规划 阶段 需求 分 析 的 方法 和 解决 的 问题 (控制 在 100 字 以 内 )。 

(2) 在 需求 分 析 过 程 中 应 对 已 有 网 络 的 现状 及 运行 情况 作 调研 ， 如 果 要 在 已 有 的 网 络 
上 作 新 的 网 络 建设 规划 ， 如 何 保护 用 户 已 有 投资 (控制 在 100 字 以 内 )? 


1.1.4 同步 练习 参考 答案 


1. 答案 : 
网 络 开 发 的 过 程 一 般 分 为 5 个 阶段 ， 具 体 流程 图 如 图 1-3 所 示 。 
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记名 概 作 和 加 人 计 析 阶段 0 用 


网 络 需求 与 商业 计划 阶段 1 网 络 需求 说 明 书 
通信 规范 
划 


网 络 分 析 、 设 计 和 实施 | 夫人 2 二 本 
| 综合 
阶段 3 [测试 结果 报告 
/ 项 目 完成 报告 
实施 和 运行 M4 


1-3 ”网 络 开发 流程 图 


2. 答案 : 

(1) 先 采用 自 顶 向 下 的 分 析 方 法 ， 调 查 用 户 单位 建 网 的 背景 、 必 要 性 、 上 网 的 人 数 、 
信息 量 等 ， 从 而 确定 建 网 目标 。 接 着 进行 纵向 的 、 深 入 的 需求 分 析 和 调研 ， 为 网 络 设计 提 
供 依据 。 

(2) 在 设计 新 系统 时 要 充分 考虑 利用 已 有 系统 的 资源 ， 让 原 有 系统 纳入 到 新 系统 中 运 
行 ， 不 要 “推倒 重 来 ”， 也 可 以 把 已 有 系统 的 设备 降 档 次 使 用 。 


1.2 网 络 系统 的 设计 


1.2.1 考点 辅导 


1.2.1.1 网 络 设计 的 基本 原则 


网 络 系统 性 能 要 求 高 、 技 术 复杂 、 涉 及 面 广 ， 在 其 规划 和 设计 过 程 中 ， 为 使 整个 网 络 
系统 更 合理 、 更 经 济 、 性 能 更 好 ， 需 要 遵守 以 下 设计 原则 ;性价比 高 ， 统 一 建 网 模式 ， 统 
一 网 络 协议 ， 保 证 可 靠 性 和 稳定 性 ， 保 证 先进 性 和 实用 性 ， 具 有 良好 的 开放 性 和 扩充 性 ; 
在 一 定 程度 上 保证 安全 性 和 保密 性 ， 具 有 良好 的 可 维护 性 等 。 

由 于 不 同 单位 的 网 络 发 展 水 平和 应 用 需求 差异 很 大 ， 而 且 网 络 的 组 网 方法 和 备 选 设备 
种 类 繁多 ， 因 此 设计 时 必须 根据 具体 情况 进行 规划 。 

1.2.1.2 ”收集 信息 

在 网 络 开 发 过 程 中 ， 一 旦 设计 者 了 解 网 络 需求 之 后 ， 便 可 进入 逻辑 网 络 设计 阶段 。 进 
入 这 一 阶段 的 前 提 是 设计 者 必须 有 详尽 的 需求 报告 和 通信 规范 。 

在 网 络 设计 的 初始 阶段 ， 网 络 设计 人 员 首 先 需要 对 用 户 的 需求 了 如 指 掌 ， 然 后 着 手 进 
行 网 络 设 计 前 的 准备 工作 。 准 备 工作 首先 从 收集 信息 (这 些 信息 包括 技术 层面 的 和 产品 层面 
的 ) 开 始 ， 收 集 信息 一 定 要 以 满足 用 户 需 求 为 目标 ， 为 网 络 设 计 和 实施 服务 。 
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收集 信息 的 途径 有 很 多 种 ， 主 要 有 以 下 几 个 。 


* 
人 
*. 
M4 


人 


通过 参观 访问 其 他 单位 获得 。 
通过 厂商 资料 和 宣传 品 获得 。 
通过 Internet 获得 。 
通过 投标 公司 获得 。 


对 于 收集 到 的 信息 需要 分 类 整理 ， 参 照 需求 分 析 说 明 书 找到 可 靠 的 且 满足 需要 的 技术 、 
产品 和 设备 ， 然 后 进一步 分 析 研 究 。 


1.2.1.3 ”采用 的 技术 和 产品 设备 的 比较 研究 


任何 设计 都 需要 权衡， 其 中 最 常见 的 是 成 本 与 性 能 的 权衡 。 如 果 要 增强 性 能 ， 成 本 就 
会 明显 上 升 。 在 考虑 成 本 时 ， 设 计 者 不 仅 要 考虑 运行 的 成 本 ， 还 要 考虑 实施 网 络 的 成 本 。 
图 1-4 说 明了 技术 选择 与 成 本 之 间 的 关系 。 


口 开发 成 本 
日 运行 成 本 


沪 


术 1 技术 2 技术 3 
性 能 


1-4 成 本 /性 能 示意 图 


根据 需求 收集 阶段 初期 收集 到 的 基本 需求 ， 可 以 预测 项 目的 成 本 ， 同 时 也 可 确定 开发 
成 本 和 运行 成 本 的 阔 值 。 在 选择 技术 时 ， 设 计 者 通常 也 会 提供 备 选 的 技术 及 相关 的 成 本 ， 


选择 的 结 


人 


他 多 
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果 一 般 会 超出 所 确定 的 水 平 。 给 定 一 个 设计 目标 时 ， 设 计 者 必须 考虑 以 下 方面 。 
最 低 的 运行 成 本 。 

最 少 的 安装 费用 。 

最 高 的 性 能 。 

最 大 的 适应 性 。 

最 大 的 安全 性 。 

最 高 的 可 靠 性 。 

最 短 的 故障 时 间 。 


以 上 目标 不 可 能 同时 达到 ， 需 要 仔细 权衡 。 其 中 技术 上 的 考虑 处 于 核心 地 位 ， 技 术 上 
的 考虑 包括 后 台 通 信 、 连 接 类 型 和 可 伸缩 性 等 方面 。 

1. 后 台 通 信 

后 台 通信 通常 是 指 广播 通信 ， 与 应 用 间 的 通信 不 同 ， 它 是 发 生 在 网 络 上 的 通信 。 考 虑 
后 台 通信 和 是 因为 它 可 能 会 大 大 增加 网 络 的 容量 要 求 。 在 典型 的 情况 下 ， 后 台 通 信 占 全 部 通 
信 的 5% 一 20%。 

通常 遇 到 的 后 台 通信 都 是 基于 路 由 广告 协议 Routing Advertisements Protocol，RAP) 和 
服务 广告 协议 (Service Advertisements Protocol，SAP)。 在 网 络 上 向 其 他 设备 做 服务 广告 的 服 
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务 器 、 路 由 器 和 打印 机 将 产生 这 种 类 型 的 通信 。 如 果 网 络 协调 不 当 ， 后 台 通 信 就 会 在 整个 
网 络 通信 中 占 很 大 一 部 分 。 

2. 连接 类 型 

连接 类 型 是 逻辑 设计 时 必须 考虑 的 另 一 个 问题 。 在 无 连接 和 面向 连接 的 协议 间 需 要 一 
个 权衡 。 有 些 协议 ， 如 下 协议 是 无 连接 的 ， 在 这 类 协议 中 ， 不 用 花 时 间 来 建立 虚拟 电路 ， 
只 需 简 单 地 通过 网 络 来 发 送 分 组 。 用 无 连接 协议 传送 信息 比 起 面向 连接 的 协议 来 说 ， 每 个 
分 组 的 系统 花费 都 要 多 一 些 。 

面向 连接 的 协议 (如 ATM) 需 要 花费 较 长 时 间 来 建立 连接 。 一 旦 建立 起 了 连接 ， 通 信 的 
效率 就 会 高 许多 。 面 向 连接 的 协议 通常 同时 提供 多 层次 的 服务 ， 当 应 用 需要 以 相同 的 速率 
发 送 大 量 的 信息 时 最 适合 使 用 面向 连接 的 协议 。 如 果 应 用 是 突 发 的 而 且 不 需要 多 层次 服务 ， 
则 用 无 连接 协议 最 合适 。 

3. 可 伸缩 性 

设计 者 同样 需要 考虑 网 络 的 可 伸缩 性 ， 即 考虑 现在 以 及 将 来 网 络 所 需 的 容量 。 容 量 设 
计 必 须 易 于 调整 以 适应 单位 、 应 用 以 及 网 络 的 适当 增长 。 例 如 ， 当 设计 者 实施 以 太 网 接 
卡 (NIC) 和 非 屏蔽 双 绞 线 (UTP) 连 接 时 ， 即 使 只 实现 10 Mbps 的 以 太 网 ， 也 可 能 选择 购买 
10/100 Mbps 的 网 卡 和 5 类 线 。 这 样 做 ， 不 更 换 接 口 卡 和 线 绕 平台 就 能 升级 到 百 光 。 

要 想 作出 具体 的 技术 选择 ， 需 要 设计 者 详细 考虑 每 种 方法 的 优 缺 点 。 考 虑 的 不 同 技术 
类 型 和 重点 内 容 如 下 。 

4 物理 层 。 
网 络 互联 。 
逻辑 网 络 图 。 
虚拟 网 策略 。 
现代 广域网 技术 。 
网 络 管理 。 
TCP/IP 地 址 设计 。 
网 络 安全 。 
防火 墙 。 
备 选 设计 。 

1.2.1.4 ”确定 连接 

除了 考虑 各 种 类 型 的 网 络 的 传输 特性 及 优 缺 点 外 ， 还 需要 考虑 在 实际 网 络 环境 中 如 何 
评估 各 类 介质 。 以 下 列举 了 必须 要 考虑 的 主要 环境 因素 ， 并 对 不 同 的 条 件 推荐 了 适当 的 传 
输 介质 。 

1) 高 EMI 或 RFI 区 域 

如 果 环 境内 拥有 许多 电能 源 ， 应 尽 可 能 使 用 抗 噪 性 最 好 的 介质 。Thick Ethemet( 粗 缆 以 
太 网 ) 和 光缆 在 目前 是 抗 噪 性 最 好 的 介质 。 

2) “拐角 和 狭窄 空间 

如 果 环境 要 求 电缆 在 拐角 处 弯曲 或 穿 过 狭窄 空间 ， 应 该 尽 可 能 使 用 最 灵活 的 传输 介质 ， 
如 STP 和 UTP。 


ee 多 


. 
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3) ”距离 
如 果 环 境 要 求 远 距离 传输 ， 应 考虑 光缆 或 无 线 介 质 ， 也 可 以 使 用 双 绞 线 或 同 轴 电 缆 ， 
但 它们 更 易 受 衰减 和 干扰 的 影响 ， 同 时 需要 中 继 器 。 
4) ”安全 性 
如 果 某 个 机 构 对 传输 安全 性 要 求 较 高 ， 应 选择 具有 最 高 安全 性 的 传输 介质 ， 光 缆 和 红 
外 介质 对 这 种 环境 都 是 很 好 的 选择 。 
5)” 既 有 体系 结构 
如 果 为 一 个 已 有 的 电缆 设备 增加 电缆 ， 应 考虑 它 将 如 何 与 已 有 电缆 设备 相互 作用 以 及 
两 者 之 间 所 需 的 连接 性 硬件 。 选 择 的 介质 应 与 机 构 以 前 安装 的 设备 相 适应 。 

6) 发 展 

应 弄 清 本 单位 准备 如 何 扩展 网 络 ， 以 及 在 设计 布线 时 是 如 何 考虑 将 来 的 应 用 、 通 信 业 
务 和 地 理 扩 展 等 问题 的 ， 所 选 的 介质 应 该 能 适应 机 构 的 需求 。 

1.2.1.5 ”确定 节点 

节点 是 网 络 中 功能 相对 独立 的 部 分 ， 它 可 以 发 送 、 接 收 或 转发 、 处 理 并 存储 数据 ， 它 
可 能 是 一 台 用 户 终 端 或 服务 器 ， 也 可 能 是 一 个 集线器 、 交 换 机 或 路 由 器 等 。 对 于 网 络 设计 
和 规划 中 需要 多 少 个 节点 、 它 们 应 该 如 何 分 布 在 不 同 的 地 理 位 置 、 每 个 节点 的 处 理 能 力 是 
多 少 等 问题 都 必须 有 明确 的 答案 。 这 就 需要 网 络 设计 人 员 综合 考虑 多 种 因素 ， 如 用 户 需求 、 
3 一 5 年 后 的 发 展 情况 、 现 有 网 络 资源 的 利用 、 保 证 可 靠 性 而 采取 的 宛 余 措 施 等 。 

1.2.1.6 ”确定 网 络 的 性 能 
络 作为 一 个 系统 来 看 ， 其 性 能 取决 于 多 种 因素 ， 主 要 包括 构成 网 络 的 各 个 部 件 的 性 
网 络 的 性 能 包括 以 下 6 个 方面 。 
4 响应 时 间 、 延 迟 和 等 待 时 间 。 
98 利用 率 。 
ba 
9 
D4 
ba 


图 


带宽 、 容 量 和 吞吐 量 。 
可 用 性 、 可 靠 性 和 可 恢复 性 。 
元 余 度 、 适 应 性 和 可 伸缩 性 。 
效率 与 费用 。 
确定 网 络 的 性 能 就 是 要 针对 每 一 种 性 能 选取 适当 的 指标 ， 以 保证 在 网 络 工程 施工 后 其 
测试 时 有 据 可 依 ， 为 此 ， 需 要 评判 建成 的 网 络 是 否 满足 性 能 设计 要 求 。 
总 的 来 说 ， 网 络 的 性 能 与 网 络 的 投入 成 正比 ， 即 选用 的 组 网 设备 和 部 件 越 好 ， 整 个 网 
络 的 性 能 就 越 好 。 但 不 同 的 单位 有 不 同 的 需求 ， 需 要 在 性 能 和 投入 两 者 之 间 找 到 一 个 平衡 
点 ， 力 争 做 到 投入 少 、 性 能 好 。 
1.2.1.7 ”确定 可 靠 性 措施 


对 于 一 个 网 络 系统 来 说 ， 可 靠 性 就 是 对 应 用 程序 和 数据 的 有 效 支持 。 在 实际 应 用 中 ， 
提高 网 络 可 靠 性 的 可 行 方法 是 消除 故障 孤 点 ， 特 别 是 单 点 故障 。 
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1. 可 靠 性 设计 的 内 容 

可 靠 性 设计 包含 以 下 3 方面 的 内 容 。 

(1) 物理 可 靠 , 指 系统 对 关键 硬件 设备 (如 CPU、 存 储 介质 等 ) 损 坏 , 不 可 预见 性 灾难 (如 
地 震 、 飓 风 、 陨 石 、 强 磁场 等 )， 硬 件 、 数 据 库 及 服务 资源 等 破坏 的 耐 受 能 力 。 

(2) 逻辑 可 靠 ， 包 含 操作 系统 可 靠 、 数 据 库 管理 系统 可 靠 和 应 用 程序 可 靠 等 。 

(3) 健壮 性 ， 指 系统 在 故障 情况 下 恢复 正常 的 难 易 程度 。 

对 关键 硬件 设备 的 损坏 ， 通 常 采取 一 定 程度 的 容错 措施 来 应 对 。 根 据 经 验 ， 系 统 最 可 
能 出 现 的 故障 原因 依次 为 电源 故障 、 雷 击 、 线 路 连接 和 火灾 失效 等 。 

2. 广域网 的 可 靠 性 设计 

广域网 的 可 靠 性 包括 元 余 的 广域网 线路 及 其 所 带 来 的 额外 开销 。 一 种 主要 的 方法 是 连 
接 备份 线路 ， 这 样 可 以 避免 重复 路 由 的 保持 和 再 计算 。 例 如 ， 路 由 器 通过 DDN/Frame 
Relay( 数 字数 据 网 / 帧 中 继 ) 连 接 主干 的 通信 线路 ， 当 主干 线路 出 现 故障 时 ， 路 由 器 可 以 自动 
通过 PSTN( 公 共 交 换 电话 网 络 ) 或 ISDN( 综 合 业务 数字 网 络 ) 拨 入 中 心路 由 器 。 

广域网 的 可 靠 性 设计 包括 线路 的 备份 和 中 心路 由 器 的 备份 。 系 统 中 两 个 以 上 部 件 出 现 
故障 时 ， 系 统 能 够 自动 地 在 数秒 内 切换 到 备份 部 件 上 ， 而 无 须 人 工 干预 。 

3. 通信 设备 的 可 靠 性 设计 

随 着 租用 线路 服务 可 靠 性 的 增强 及 其 ISDN/PSTN 后 备 技术 的 成 熟 ， 系 统 的 可 靠 性 已 经 
在 很 大 程度 上 转移 到 了 通信 设备 连接 的 可 靠 性 上 。 

防止 通信 设备 损坏 对 网 络 造成 不 良 后 果 的 较 好 解决 方案 就 是 使 用 双 电 源 和 双 路 供电 。 
例如 ， 中 心路 由 器 可 以 采用 Cisco 公司 的 高 性 能 大 型 路 由 器 7204(Cisco 7204 路 由 器 具有 双 
电源 容错 系统 ， 并 且 具 有 端口 容错 等 安全 措施 来 保证 系统 的 稳定 运行 )。 

4. 局 域 网 的 可 靠 性 设计 

随 着 通信 线路 和 通信 设备 的 可 靠 性 提高 ， 系 统 的 可 靠 性 已 经 在 很 大 程度 上 转移 到 了 局 
域 网 连接 的 可 靠 性 上 。 一 个 很 好 的 解决 方案 就 是 使 用 双 局 域 网 服务 。 主 机 与 两 个 局 域 网 适 
配器 相连 ， 每 个 适配器 连接 到 一 个 单独 的 集线器 或 交换 机 上 ， 这 样 主机 与 主干 交换 设备 之 
间 的 关键 连接 就 具有 较 高 的 可 靠 性 。 
网 络 设计 人 员 应 根据 组 网 需求 ， 选 择 符合 要 求 的 可 靠 性 结构 和 策略 。 
1.2.1.8 网 络 设备 的 选择 


网 络 设备 质量 的 高 低 直 接 影响 着 网 络 系统 的 性 能 。 选 择 设备 时 ， 首 先 必 须 制定 选择 标 
准 ， 即 根据 用 户 单位 实际 需要 制订 成 本 、 性 能 、 容 量 、 处 理 量 、 延 迟 等 指标 和 浮动 范围 ， 
在 能 够 满足 需求 的 情况 下 ， 没 有 必要 一 味 地 求 高 求 贵 ， 而 要 参照 产品 的 性 能 价格 比 来 决定 。 

在 设备 到 达 现场 时 ， 需 要 检验 其 标 称 性 能 参数 与 既定 标准 的 一 致 性 ， 看 是 否 有 性 能 不 
达标 的 产品 存在 ， 以 免 设 备 投入 运行 后 影响 整个 系统 的 性 能 。 

设备 安装 到 位 且 初 步调 试 通过 后 ， 还 需要 采取 专门 的 测试 手段 对 关键 设备 进行 高 级 测 
试 ， 只 有 当 设 备 在 实际 环境 中 的 性 能 表现 和 与 其 他 设备 的 兼容 性 和 互联 性 完全 符合 标准 后 
才能 通过 验收 。 


第 1 章 网 络 系统 规划 和 设计 


在 选择 产品 时 ， 除 了 要 求 产品 支持 应 用 需求 之 外 ， 还 建议 考虑 如 下 因素 ; 选用 符合 工 
业 标 准 的 流行 产品 (保证 产品 的 兼容 性 、 可 靠 性 和 可 扩充 性 )， 具 有 较 多 的 工具 软件 和 应 用 软 
件 支持 ， 具 有 进一步 开发 的 接口 ， 具 有 完整 的 资料 说 明 等 。 

作为 网 络 工程 ， 被 选择 的 产品 主要 包括 传输 介质 、 网 络 接口 、 互 联 部 件 、 网 络 服务 器 


以 及 通信 协议 和 应 用 软件 等 。 
1. 传输 介质 
传输 介质 是 网 络 的 最 基本 部 分 ， 用 于 在 用 户 设 备 之 间 传 输 信 号 。 选 择 传输 介质 时 ， 应 
当 考 虑 如 下 因素 。 
4 安装 特性 : 包括 单 段 介质 的 最 大 长 度 、 网 络 的 覆盖 范围 、 铺 设 时 允许 的 最 小 弯 角 
和 最 大 直径 等 。 
4 连接 性 ; 包括 网 络 拓扑 、 可 支持 的 连接 数据 等 。 
4 ”容量 及 性 能 :包括 可 使 用 的 带宽 、 支 持 的 逻辑 信道 数 、 每 个 信道 可 以 支持 的 最 大 
传输 速率 等 。 
4 ”防护 性 能 ,包括 电 气 干扰 与 噪声 、 物 理 损害 、 安 全 性 等 。 
”价格 ,介质 的 价格 。 
目前 可 以 选择 的 介质 类 型 包括 以 下 几 类 。 
4 无 屏蔽 双 绞 线 : 支持 点 到 点 连接 (包括 环形 )， 价格 较 低 ， 用 于 计算 机 联网 的 双 绞 线 
应 为 3 类 线 以 上 。 
。 屏蔽 双 绞 线 : 支持 点 到 点 连接 (包括 环形 )， 仅 用 于 电磁 干扰 较 严重 的 环境 ， 价 格 
适中 。 


4 基带 同 轴 电 费 : 支持 总 线 连 接 (包括 环形 )， 价 格 适 中 。 

4 ”宽带 同 轴 电 绕 ， 支持 总 线 连 接 (包括 环形 )， 价 格 略 高 。 

4 ”光纤 ; 支持 点 到 点 连接 (包括 环形 )， 价 格 偏 高 。 

随 着 结构 化 布线 技术 的 推广 以 及 多 介质 应 用 的 增多 ， 双 绞 线 和 光纤 成 为 组 网 的 主要 传 
输 介质 。 

需要 指出 的 是 ， 传 输 介 质 的 选择 应 当 具 有 足够 的 超前 意识 ， 因 为 传输 介质 的 布 放 一 般 
会 对 建筑 物 的 本 身 造成 影响 ， 因 此 应 当 尽 可 能 避免 因 设备 的 更 新 换代 和 升级 而 改变 传输 
介质 。 

2. 网 络 接口 


网 络 接口 的 用 途 是 将 用 户 设备 接 入 网 络 ， 网 络 接口 通常 以 网 络 适 配 卡 的 形式 出 现 。 使 
用 不 同 的 传输 介质 和 采用 不 同 的 访问 介质 控制 方法 时 ， 要 求 使 用 不 同类 型 的 网 络 适 配 卡 。 

目前 ， 常 用 的 网 络 适 配 卡 包 括 以 下 几 种 。 

4 以 太 网 卡 : 支持 总 线 方式 ， 具 有 不 同 的 速率 和 工作 方式 的 接口 ， 可 以 连接 双 绞 线 、 
同 轴 电缆 和 光纤 。 

”ARCnet 网 卡 : 支持 总 线 方式 ， 具 有 不 同 的 接口 ， 可 以 连接 双 绞 线 、 同 轴 电 绕 ， 常 
用 于 生产 控制 环境 。 

9 令 牌 环 卡 :支持 环形 结构 ， 连 接 双 绞 线 。 

4 ，X25 卡 : 支持 用 户 终端 接 入 X.25 网 络 ， 连 接 双 绞 线 。 
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4 ATM 适 配 卡 : 支持 用 户 设备 接 入 ATM 网 络 ， 连 接 光 纤 。 
”FDDI 适 配 卡 : 支持 用 户 设备 接 入 FDDI 网 络 ， 连 接 光 纤 或 者 铜 芯 电 缆 。 
3. 互联 部 件 
互联 部 件 主要 用 于 网 络 的 扩展 或 者 网 络 的 互联 。 为 了 结构 化 布线 的 需要 、 减 少 设备 之 
间 的 干扰 和 方便 系统 升级 ,局域网 组 建 建议 采用 集线器 方式 。 常 用 的 互联 部 件 包括 以 下 几 个 。 
4 ”集线器 : 有 一 般 集 线 器 和 智能 集线器 之 分 ， 主 要 用 于 连接 节点 ， 所 有 端口 共享 链 
路 带宽 。 
4 ”交换 器 (交换 式 集线器 ): 一 种 采用 线路 交换 技术 的 集线器 ， 具 有 端口 链 路 分 隔 的 特 
征 ， 常 用 于 连接 网 段 或 者 相同 类 型 的 局 域 网 。 
4 ATM 交换 机 : 可 以 直接 连接 节点 或 者 和 其 他 ATM 交换 机 连接 ， 形 成 ATM 网 络 。 
4 FDDI 集中 器 : 可 以 直接 连接 节点 或 者 和 其 他 FDDI 集中 器 等 连接 ， 形 成 FDDI 
网 络 。 
9 路 由 器 : 常用 的 路 由 器 包括 远程 访问 路 由 器 (支持 远程 用 户 通过 拨号 /专线 方式 访问 
内 部 网 )、 局 域 网 /广域网 路 由 器 (支持 用 户 通过 各 种 公共 网 络 进行 互相 访问 )。 
目前 较 高 档 的 互联 部 件 均 采 用 了 模块 化 结构 ， 允 许 用 户 根据 具体 的 应 用 需求 选择 和 插 
入 不 同 的 模块 。 
选用 交换 器 或 者 交换 机 时 ， 应 当 注 意 其 内 部 的 交换 结构 ;选用 路 由 器 时 ， 应 当 考 虑 采 
用 的 路 由 算法 ， 以 及 支持 分 组 过 滤 的 安全 策略 。 
4. 网 络 服务 器 


网 络 服务 器 通常 是 小 型 机 或 者 高 档 微机 ， 它 通过 网 络 适 配 卡 接 入 网 络 ， 向 用 户 提供 各 
种 共享 服务 ， 如 文件 共享 、 打 印 共 享 、 通 信 共 享 、 电 子 邮件 和 WWW 服务 等 。 网 络 服务 器 
可 根据 服务 的 类 型 ， 扩 充 不 同 的 设施 ， 例 如 ， 文 件 服务 器 要 求 较 大 容量 的 硬盘 和 高 速 缓冲 
区 支持 ， 打 印 服务 器 应 当 配 置 打印 机 。 原 理 上 ， 一 台 服 务 器 可 以 提供 多 种 应 用 服务 ， 但 在 
实际 应 用 中 ， 尤 其 是 从 安全 和 可 扩展 的 角度 出 发 ， 仍 然 建 议 在 经 费 许可 的 前 提 下 ， 根 据 应 
用 服务 划分 和 配置 多 台 服 务 器 。 

5. 通信 协议 和 应 用 软件 

通信 协议 和 应 用 软件 的 选择 除了 要 满足 具体 的 应 用 需求 之 外 ， 还 应 考虑 开放 性 ， 不 仅 
要 保证 和 不 同 厂家 的 不 同 产品 之 间 的 相互 操作 , 还 应 兼顾 和 其 他 相关 部 门 之 间 的 关系 (例如 ， 
对 于 数据 库 管理 系统 的 选择 应 当 兼 顾 与 上 级 部 门 选择 的 一 致 性 )。 设 计时 应 当 允 许 三 个 阶段 
的 并 存 ， 即 原 有 的 网 络 协议 软件 可 能 是 “封闭 ”的 ， 仅 适合 于 连接 同一 厂家 的 产品 (大 多 数 
生产 控制 系统 具有 这 样 的 特性 )， 现 行 的 网 络 协议 软件 要 求 是 “开放 ”的 ， 此 时 的 整个 网 络 
系统 为 “混合 型 ”的 ; 将 来 的 系统 是 完全 “开放 ”的 。 

需要 指出 的 是 ， 任 何 一 个 系统 (包括 网 络 系统 ) 都 具有 一 定 的 生命 周期 ， 因 此 ， 应 当 从 系 
统 的 功能 、 技 术 和 效益 等 方面 ， 对 所 设计 的 系统 作出 正确 的 系统 生命 周期 估计 。 就 现 阶段 
而 言 ，TCP/IP 协议 应 是 通信 协议 选择 的 主流 。 

产品 选择 阶段 的 工作 应 由 专业 技术 人 员 完成 ， 或 者 直接 委托 供应 商 和 公司 完成 。 采 用 
委托 方式 时 ， 应 在 企业 代表 的 全 面 控制 下 进行 。 

在 选择 供应 商 时 ， 建 议 考虑 如 下 因素 : 资金 相对 雄厚 且 具 有 良好 的 业绩 ， 可 以 提供 可 
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靠 的 产品 ， 能 够 提供 可 靠 的 服务 质量 ， 尤 其 是 售后 服务 质量 好 的 公司 。 组 建 网 络 的 最 终 目 
的 是 应 用 ， 因 此 ， 具 有 相关 拳头 产品 或 者 应 用 软件 开发 能 力 较 强 也 可 成 为 选择 供应 商 的 指 
标 之 一 。 

1.2.1.9 设计 管理 

网 络 设计 方案 管理 的 任务 包括 设计 复查 、 设 计 验 证 、 设 计 确认 和 设计 变更 。 

(1) 设计 复查 : 项 目 计划 中 规定 ， 对 设计 结果 必须 复查 且 对 复查 应 留 有 备案 。 

(2) 设计 验证 : 在 项 目 计划 中 ， 经 过 设计 复查 和 测试 后 ， 设 计 验 证 才能 完成 。 需 要 按 
照 复查 结果 验证 设计 输出 是 否 符合 设计 输入 的 需求 ， 如 果 任 一 部 分 的 设计 未 通过 验证 ， 必 
须 进行 设计 修复 。 

(3) 设计 确认 : 设计 确认 就 是 要 确保 产品 遵照 产品 需求 说 明 书 进行 设计 。 产 品 的 质量 
保证 依赖 于 用 来 进行 验证 、 确 认 和 控制 的 测试 工具 ， 以 及 在 确认 及 验证 阶段 使 用 的 程序 。 

(4) 设计 变更 : 设计 变更 需要 修改 相关 设计 文档 并 备案 。 

1.2.1.10 ”新 网 络 业务 运营 计划 

新 网 络 运营 过 程 一 般 是 公司 业务 由 旧 的 网 络 向 新 的 网 络 迁 移 的 过 程 。 旧 有 业务 应 用 适 
合 于 原 有 网 络 ， 而 新 系统 由 于 在 功能 、 性 能 、 技 术 等 方面 都 与 旧 的 网 络 系统 存在 较 大 差异 ， 
因而 对 业务 系统 的 支持 也 不 同 ， 直 接 将 旧 的 业务 系统 迁移 到 新 系统 上 是 不 太 现 实 的 ， 新 系 
统 的 使 用 往往 与 新 的 业务 系统 配套 。 

在 向 新 系统 升迁 前 ， 应 该 周密 计划 ， 需 要 仔细 考察 新 、 旧 系统 的 差异 ， 分 析 升迁 对 用 
户 造成 的 影响 并 及 时 通知 他 们 。 考 虑 到 用 户 不 能 很 快 接受 并 适应 新 系统 ， 升 迁 前 还 需要 对 
他 们 进行 系统 的 业务 操作 培训 。 如 果 一 个 单位 的 业务 应 用 分 为 若干 部 分 ， 也 可 以 按照 先 易 
后 难 的 顺序 ， 一 个 部 分 一 个 部 分 地 迁移 到 新 系统 ， 逐 步 积 累 新 系统 的 使 用 经 验 ， 为 后 续 部 
分 的 升迁 作 准 备 。 

在 整个 升迁 过 程 中 ， 要 及 时 做 好 系统 备份 ， 包 括 旧 系 统 的 备份 ， 以 便 在 新 系统 不 可 用 
时 能 够 及 时 恢复 到 旧 系 统 ， 保 证 业务 正常 开展 。 迁 移 完 毕 后 ， 还 需要 对 新 业务 系统 进行 测 
试 ， 检 查 其 对 于 设计 目标 的 可 满足 性 。 新 系统 迁移 成 功 后 ， 对 旧 系 统 应 采取 措施 妥善 处 理 。 

所 有 这 些 工作 都 将 在 网 络 系统 实施 阶段 完成 ， 因 而 在 设计 阶段 应 该 针对 每 一 个 环节 制 
订 详 细 的 计划 ， 以 便 以 后 按 计 划 实 施 。 

1.2.1.11 设计 方案 测试 

测试 一 个 网 络 、 预 测 和 衡量 网 络 性 能 是 一 门 科学 。 没 有 两 个 完全 相同 的 系统 ， 因 此 对 
测试 方法 和 测试 工具 的 正确 选择 需要 具有 一 定 的 创造 性 ， 还 需要 对 所 测试 的 系统 有 透彻 的 
理解 。 

1. 测试 原型 网 络 系统 的 方法 和 工具 

根据 所 要 测试 项 目的 应 用 目的 正确 选择 测试 方法 和 测试 工具 ， 通 常 包括 以 下 内 容 。 

4 验证 该 设计 是 否 满足 商业 技术 目标 。 

4 验证 所 选择 的 局 域 网 技术 、 广 域 网 技术 和 设备 是 否 合适 。 

4 ”验证 服务 提供 者 是 否 能 够 提供 要 求 的 服务 。 

8 ” 找 出 系统 瓶颈 或 连通 性 问题 。 
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测试 网 络 宛 余 。 
分 析 网 络 链 路 故障 对 性 能 的 影响 。 
确定 必要 的 优化 技术 ， 需 满足 的 性 能 和 其 他 技术 目标 。 
分 析 网 络 链 路 和 设备 升级 对 性 能 的 影响 。 
证 明 该 设计 优 于 其 他 竞争 方案 。 
通过 一 个 “验收 测试 ”以 获得 进行 下 一 步 的 网 络 实现 。 
发 现 可 能 妨碍 执行 的 风险 ， 并 拟定 相应 的 补救 措施 。 
决定 还 需要 多 少 其 他 测试 。 

如 果 网 络 设计 方案 中 选用 的 设备 不 是 全 新 的 设备 ， 也 即 该 设备 或 相应 的 组 网 方案 已 经 
得 到 应 用 ， 上 述 测试 内 容 就 可 以 大 大 简化 。 一 个 比较 简单 的 方法 是 ， 考 查 采用 类 似 方案 的 
现 有 网 络 系统 ， 如 果 可 能 ， 可 以 考虑 在 不 影响 该 网 络 业务 正常 运行 的 前 提 下 ， 支 付 必 要 的 
费用 ， 对 该 网 络 进行 所 需要 的 测试 。 这 种 方法 的 优点 是 ， 可 以 节省 大 量 的 资金 和 时 间 ， 与 
实际 结合 比较 紧密 。 

如 果 采 用 的 是 全 新 的 设备 和 网 络 设计 方案 ， 也 应 该 要 求 设备 厂商 进行 必要 的 测试 或 提 
供 尽 可 能 全 面 的 测试 资料 ， 特 别 是 第 三 方 的 权威 测试 结果 报告 ， 以 降低 测试 费用 。 

2. 建立 和 测试 原型 网 络 系统 


原型 网 络 系统 是 新 系统 的 一 个 初始 实现 ， 为 最 终 完成 系统 提供 了 一 个 样板 ， 可 以 帮助 
网 络 设计 者 验证 所 设计 的 新 系统 的 功能 和 性 能 。 

建立 和 测试 原型 网 络 系统 能 否 顺利 实施 取决 于 所 能 得 到 的 资源 支持 ， 包 括 人 工 、 设 备 、 
资金 和 时 间 等 。 完 成 有 效 的 测试 需要 有 足够 的 资源 ， 但 是 如 果 资 源 消耗 过 多 会 导致 项 目 预 
算 超支 、 时 间 过 长 或 对 用 户 产 生 不 利 影响 。 

以 下 就 是 建立 和 测试 原型 系统 常用 的 3 种 方法 。 

4 ”在 实验 室 中 建立 和 测试 网 络 。 

4 与 正在 运行 的 网 络 集成 ， 利 用 空闲 时 间 进 行 测试 。 

4 与 正在 运行 的 网 络 集成 ， 在 正常 工作 时 间 内 进行 测试 。 

一 旦 网 络 设计 方案 得 到 认可 ， 剩 下 的 关键 问题 就 是 对 原型 网 络 系统 进行 测试 ， 以 考查 
可 能 出 现 的 设计 瓶颈 。 这 种 测试 可 以 在 空闲 的 时 间 进 行 ， 但 最 终 的 测试 必须 放 在 正常 的 工 
作 时 间 内 进行 ， 从 而 能 够 在 正常 负载 的 情况 下 对 系统 进行 评估 。 

在 确定 了 原型 系统 的 测试 范围 后 ， 应 该 制订 测试 计划 ， 说 明 如 何 测试 该 原型 系统 。 

测试 计划 涉及 的 内 容 应 当 包 括 以 下 方面 。 
测试 目标 和 验收 标准 。 
测试 的 种 类 。 
网 络 设备 和 所 需 的 其 他 资源 。 
测试 脚本 。 
测试 项 目的 时 间 划 分 和 阶段 划分 。 

测试 计划 执行 的 过 程 主要 是 按 测试 脚本 执行 并 将 工作 归档 。 由 于 在 编写 测试 脚本 时 不 
可 能 把 所 有 突 发 情况 和 可 能 出 现 的 各 种 问题 都 考虑 到 ， 因 而 无 法 按部就班 地 执行 测试 计划 。 
所 以 ， 在 测试 计划 执行 的 过 程 中 对 日 志 记录 进行 维护 就 显得 非常 重要 。 


ee 多 


人 9 多 
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日 志 记 录 应 当 包括 测试 数据 、 测 试 结果 以 及 每 日 活动 记录 。 每 日 活动 记录 用 来 记载 测 
试 记录 ， 包 括 对 测试 脚本 或 设备 配置 所 做 的 改变 、 遇 到 的 问题 和 对 引起 这 些 问题 原因 的 推 
测 。 这 些 推测 记录 在 分 析 测 试 结果 时 往往 能 够 发 挥 重要 的 作用 。 

3. 网 络 测试 工具 

网 络 设计 的 测试 工具 一 般 包 括 以 下 几 个 。 

4 ”网 络 管理 和 监控 工具 。 

《 建 模 和 仿真 工具 。 

9 ”服务 质量 和 服务 级 别管 理工 具 。 


1.2.1.12 设计 评审 


对 于 按照 以 上 规范 提出 的 网 络 逻辑 设计 方案 ， 必 须 得 到 批准 后 才能 够 实施 。 

先 交 由 单位 组 建 的 网 络 评审 委员 会 讨论 ， 审 查 该 方案 是 否 满足 本 单位 对 新 网 络 的 各 种 
类 型 的 需求 ， 网 络 规划 是 否 合理 ， 使 用 的 技术 是 否 先进 ， 选 择 的 设备 厂商 是 否 信誉 良好 ， 
网 络 的 实施 成 本 是 否 在 单位 的 预算 之 内 等 ， 不 同 的 单位 可 能 有 不 同 的 审查 准则 。 在 所 有 条 
件 均 满足 之 后 ， 网 络 设计 方案 才能 得 到 批准 。 

批准 时 ， 需 要 由 单位 的 管理 部 门 、MIS( 管 理 信息 系统 ) 职 员 和 咨询 公司 代表 签字 。 


1.2.2 ”典型 例题 分 析 


例 1 阅读 以 下 说 明 ， 回 答 问题 。(2015 年 上 半年 下 午 试题 一 ) 
【说 明 】 
某 企业 网 络 拓扑 图 如 图 1-5 所 示 。 


图 1-5 某 企 业 网 络 拓扑 图 


工程 师 给 出 了 该 网 络 的 需求 : 

1. 用 防火 墙 实现 内 外 网 地 址 转换 和 访问 控制 策略 ; 

2. 核心 交换 机 承担 数据 转发 ， 并 且 与 汇聚 层 两 台 交 换 机 实现 OSPF 功能 ; 
3. 接 入 层 到 汇聚 层 采用 双 链 路 方式 组 网 ; 
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4. 接 入 层 交 换 机 对 地 址 进行 VLAN 划分 ; 
5. 对 企业 的 核心 资源 加 强 安全 防护 。 
【问题 1】(4 分 ) 
该 企业 计划 在 四 、@ 或 图 的 位 置 部 署 基 于 网 络 的 入 侵 检测 系统 NIDS), 将 NIDS 部 署 在 
外 的 优势 是 _(D _; 将 NIDS 部 署 在 @ 的 优势 是 _(2) 、_(3) ; 将 NIDS 部 署 在 @ 的 优 
势 是 _(4) 。 
(1)~~(4) 备 选 答案 : 
A. 检测 外 部 网 络 攻击 的 数量 和 类 型 
B. 监视 针对 DMZ 中 系统 的 攻击 
C. 监视 针对 关键 系统 、 服 务 和 资源 的 攻击 
D. 能 减轻 拒绝 服务 攻击 的 影响 
【问题 2】(4 分 ) 
OSPF 主要 用 于 大 型 、 异 构 的 IP 网 络 中 ， 是 对 _ (5) 路 由 的 一 种 实现 。 若 网 络 规模 较 


小 ， 可 以 考虑 配置 静态 路 由 或 _(6) 协议 实现 路 由 选择 。 
(5) 备 选 答案 ，A. 链 路 状态 B. 距离 矢量 C. 路 径 矢量 
(6) 备 选 答案 ，A. EGP B.RIP C.BGP 


【问题 3】(4 分 ) 

对 汇聚 层 两 台 交 换 机 的 F0/3、F0/4 端口 进行 端口 聚合 ，FO/3、FO/4 端口 默认 模式 是 
_(7) _ ， 进 行 端口 聚合 时 应 配置 为 _(8) 模式 。 

(7)、(8) 备 选 答案 : 

A. multi B. trunk C. access 

【问题 4】(6 分 ) 

为 了 在 汇聚 层 交 换 机 上 实现 虚拟 路 由 宛 余 功能 ， 需 配置 _(9) 协议， 可 以 采用 竞争 的 
方式 选择 主 路 由 设备 ， 比 较 设备 优先 级 大 小 ， 优 先 级 大 的 为 主 路 由 设备 。 若 备份 路 由 设备 
长 时 间 没有 收 到 主 路 由 设备 发 送 的 组 播报 文 ， 则 将 自己 的 状态 转 为 _(10) _。 

为 了 避免 二 层 广播 风暴 ， 需 要 在 接 入 与 汇聚 设备 上 配置 _(11) 。 

(10)、(11) 备 选 答案 : 

A. Master B. Backup C.VIP Server DD.MSTIP 

【问题 5】(2 分 ) 
阅读 汇聚 交换 机 Switch 1 的 部 分 配置 命令 ， 回 答 下 面 的 问题 。 
Switch 1(config)#interface vlan 20 
Switch 1 (config-if)#ip address 192.168.20.253 255.255.255.0 
Switch l(config-if)#standby 2 ip 192.168.20.250 
Switch l(config-if)#standby 2 preempt 
Switch 1(config-if)#exit 

VLAN20standby 默认 优先 级 的 值 是 _(12) 。 

VLAN20 设置 preempt 的 含义 是 _(13) 。 

答案 : 

【问题 1】 
(DB (DA G)D (WC 
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【问题 2】 

(5)A (OB 

【问题 3】 

DC (8)B 

【问题 4】 

(HSRP (0A (DD 

【问题 5】 

(12) 100 (13) 设置 抢占 模式 

解析 : 

【问题 1】 由 图 1-5 可 知 ，@ 位 于 DMZ 区 ， 所 以 可 以 监视 针对 DMZ 中 系统 的 攻击 。 
@ 连 接 外 网 ， 所 以 可 以 检测 外 部 网 络 攻击 的 数量 和 类 型 、 减 轻 拒 绝 服务 攻击 的 影响 。@ 位 
于 内 网 服务 器 区 域 ， 所 以 可 以 监视 针对 关键 系统 、 服 务 和 资源 的 攻击 。 

【问题 2】OSPF 属于 链 路 状态 路 由 协议 。 网 络 规模 小 ， 可 采用 RIP 路 由 协议 ， 而 EGP 


和 BGP 属于 外 部 网 关 路 由 协议 。 
【问题 3] 交 换 机 默认 端口 的 模式 为 接 入 模式 access, 对 汇聚 层 交 换 机 进行 端口 聚合 时 ， 
一 般配 置 为 trunk 模式 。 


【问题 4] 汇聚 交换 机 采用 虚拟 路 由 宛 余 ， 目 的 是 当 一 台 汇 聚 交 换 机 出 现 故 障 时 ， 启 用 
备份 线路 。 根 据 设 备 情况 可 以 采用 虚拟 路 由 器 宛 余 协议 (VRRP) 或 热 备 份 路 由 器 协议 
(HSRP). 

生成 树 协议 是 一 种 二 层 管理 协议 ， 它 通过 有 选择 性 地 阻塞 网 络 宛 余 链 路 来 达到 消除 网 
络 二 层 环 路 的 目的 ， 同 时 具备 链 路 的 备份 功能 。 

【问题 5】 

Switchl(config)#interface vlan 20 /进入 VLAN20 虚 接口 

Switchl(config-if)#fip address 192.168.20.253 255.255.255.0 // 配 置 卫 地 址 

Switchl(config-if)#standby 2 ip 192.168.20.250 /配置 备份 组 2 的 虚拟 他 

Switchl(config-if)#standby 2 preempt  // 配 置 抢占 功能 

Switchl(config-if)#exit 

默认 优先 级 为 100， 取 值 范围 为 0~255， 值 越 大 ， 优 先 级 越 高 。 


例 2 【说 明 】(2014 年 下 半年 下 午 试题 一 ) 

某 企业 的 网 络 结构 如 图 1-6 所 示 。 

【问题 1】(6 分 ) 

1. 图 1-6 中 的 网 络 设 备 @ 应 为 _(1) _， 网 络 设备 @ 应 为 _(2) _， 从 网 络 安全 的 角度 出 
Switch9 所 组 成 的 网 络 一 般 称 为 (3) 区 。 

2. 图 1-6 中 @ 处 的 网 络 设备 的 作用 是 检测 流 经 内 网 的 信息 ， 提 供 对 网 络 系统 的 安全 保 
护 。 该 设备 提供 主动 防护 ， 能 预先 对 入 侵 活 动 和 攻击 性 网 络 流量 进行 拦截 ， 避 免 造 成 损失 ， 
而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。 网 络 设备 @ 应 为 (4) ， 其 连接 的 
Switchl 的 G11 端口 称 为 _(5) 端口 ， 这 种 连接 方式 一 般 称 为 _(6) _。 


发 
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1-6 某 企 业 的 网 络 结构 


【问题 2】(5 分 ) 

1. 随 着 企业 用 户 的 增加 ， 要 求 部 署 上 网 行为 管理 设备 ， 对 用 户 的 上 网 行为 进行 安全 分 
析 、 流 量 管理 、 网 络 访问 控制 等 ， 以 保证 正常 的 上 网 需求 。 部 署 上 网 行为 管理 设备 的 位 置 
应 该 在 图 1-6 中 的 _(7) 和 _ (8)_ 之 间 比 较 合理 。 

2. 网 卡 的 工作 模式 有 直接 、 广 播 、 多 播 和 混杂 四 种 模式 ， 缺 省 的 工作 模式 为 “(9) “和 
(10) ， 即 它 只 接收 广播 帧 和 发 给 自己 的 帧 。 网 络 管理 机 在 抓 包 时 ， 需 要 把 网 卡 置 于 
(11) 模式 , 这 时 网 卡 将 接受 同一 子 网 内 所 有 站 点 所 发 送 的 数据 包 ， 这 样 就 可 以 达到 对 网 

络 信息 监视 的 目的 。 

【问题 3】(5 分 ) 

针对 图 1-6 中 的 网 络 结构 ， 各 台 交 换 机 需要 运行 _(12) 协议 ， 以 建立 一 个 无 环 路 的 树 
状 网 络 结构 。 按 照 该 协议 ， 交 换 机 的 默认 优先 级 值 为 _(13) _“， 根 交换 机 是 根据 _(14)_ 来 
选择 的 ， 值 小 的 交换 机 为 根 交 换 机 ;如 果 交 换 机 的 优先 级 相同 ， 再 比较 _(15) _。 当 图 1-6 
中 的 Switch1 一 Switch3 之 间 的 某 条 链 路 出 现 故障 时 ， 为 了 使 阻塞 端口 直接 进入 转发 状态 ， 
从 而 切换 到 备份 链 路 上 ， 需 要 在 Switch1 一 Switch3 上 使 用 _(16)_ 功 能。 

【问题 4】(4 分 ) 

根据 层次 化 网 络 的 设计 原则 ， 从 图 1-6 中 可 以 看 出 该 企业 网 络 采 用 了 由 _ (17)_ 层 和 
(18) 层 组 成 的 两 层 架 构 ， 其 中 ，MAC 地 址 过 滤 和 IP 地 址 绑 定 等 功能 是 由 _(19) 完成 

的 ， 分 组 的 高 速 转发 是 由 _(20) 完成 的 。 

答案 : 

【问题 1】 

(1) 路 由 器 ”(2) 防火 墙 (3)DMZ (4)IPS (5) 镜像 ” (6) 旁 路 模式 

【问题 2】 

(7) 防火 墙 (8)SW1 (9) 直接 (10) 广播 (11) 混杂 
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【问题 3】 

(12)STP (13)32768 (14) 交换 机 ID ” (15)MAC 地址 (16) 上 行 速 链 路 

【问题 4】 

(17) 核心 层 (18) 接 入 层 (19) 接 入 层 (20) 核心 层 

解析 : 

【问题 1】 网 络 设备 @ 接 入 Internet 应 为 路 由 器 ， 那么 设备 四 即 为 防火 墙 ，Switch9 所 接 
区 域 应 为 DMZ 区。 


根据 该 设备 提供 主动 防护 ， 能 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ， 避 免 造 成 
损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 ， 可 判断 设备 @ 为 I PS， 则 其 连 
接 的 G1/1 端口 称 为 镜像 端口 ， 这 样 的 连接 方式 为 旁 路 模式 。 一般 IPS 以 串 接 的 方式 接 入 网 
络 ， 但 是 此 题 的 部 署 方式 并 不 常规 ， 根 据 题 意 预 先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ， 
避免 造成 损失 来 判断 应 为 IPS。 

【问题 2】 上 网 行为 管理 是 指 帮助 互联 网 用 户 控 制 和 管理 对 互联 网 的 使 用 ， 包 括 对 网 页 
访问 过 滤 、 网 络 应 用 控制 、 带 宽 流量 管理 、 信 息 收 发 审计 、 用 户 行为 分 析 ， 上 网 行为 管理 
设备 的 位 置 应 该 在 防火 墙 和 SW1 之 间 。 

网 卡 具 有 如 下 几 种 工作 模式 。 

(1) 广播 模式 (Broad Cast Model): 它 的 物理 地 址 (MAC) 是 0Xffffff 的 帧 为 广播 帧 ， 工 作 
在 广播 模式 的 网 卡 接收 广播 帧 。 

(2) 多 播 传送 (MultiCast Model): 多 播 传送 地 址 作为 目的 物理 地 址 的 帧 可 以 被 组 内 的 其 
他 主机 同时 接收 ， 而 组 外 主机 却 接收 不 到 。 但 是 ， 如 果 将 网 卡 设置 为 多 播 传送 模式 ， 它 可 
以 接收 所 有 的 多 播 传送 帧 ， 而 不 论 它 是 不 是 组 内 成 员 。 

(3) 直接 模式 (Direct Model): 工作 在 直接 模式 下 的 网 卡 只 接收 目地 址 是 自己 MAC 地址 
的 帧 。 

(4) 混杂 模式 (Promiscuous Model): 工作 在 混杂 模式 下 的 网 卡 接收 所 有 的 流 过 网 卡 的 
帧 ， 信 和 包 捕 获 程序 就 是 在 这 种 模式 下 运行 的 。 

网 卡 的 缺 省 工作 模式 包含 广播 模式 和 直接 模式 ， 即 它 只 接收 广播 帧 和 发 给 自己 的 帧 。 
如 果 采 用 混杂 模式 ， 一 个 站 点 的 网 卡 将 接受 同一 网 络 内 所 有 站 点 所 发 送 的 数据 包 ， 这 样 就 
可 以 达到 对 于 网 络 信息 监视 捕获 的 目的 。 

【问题 3】 生 成 树 算法 的 网 桥 协 议 STP(Spanning Tree Protocol), 通过 生成 树 来 保证 一 个 
已 知 的 网 桥 在 网 络 拓扑 中 沿 一 个 环 动态 工作 。 

STP 的 算法 分 为 3 个 步骤 : 

(1) 选择 根 网 桥 (Root Bridge)， 依 据 : 网 桥 ID(BID)= 网 桥 优先 级 + 网 卡 的 MAC 地 址 ， 
其 中 网 桥 ID 是 唯一 的 ， 以 及 选择 交换 网 络 中 网 桥 ID 最 小 的 交换 机 成 为 根 网 桥 。 注 意 : 优 
先 级 取 值 范围 为 0 一 65535， 缺 省 值 为 32768。 

(2) 选择 根 端口 Root Ports), 依据 : 到 根 网 桥 最 低 的 根 路 径 成 本 ， 直 连 的 网 桥 ID 最 小 ， 
直 连 的 端口 ID 最 小 。 注 意 : 端口 ID= 端 口 优先 级 + 端口 编号 ， 端 口 优先 级 范围 为 0 一 255， 
缺 省 值 为 128。 其 中 根 路 径 成 本 为 : 网 桥 到 根 网 桥 的 路 径 上 所 有 链 路 的 成 本 之 和 。 

(3) 选择 指定 端口 Designated Ports)。 

配置 上 行 速 链 路 ， 当 接 入 层 或 汇聚 层 的 交换 机 主 用 的 上 行 链 路 断 开 的 时 候 ， 被 阻塞 的 
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端口 迅速 转换 到 转发 的 状态 ， 不 需要 经 历 侦 听 和 学 习 状 态 。 
【问题 4】 层 次 化 网 络 模 型 包括 : 
(1) 由 经 过 可 用 性 和 性 能 优化 的 高 端 路 由 器 和 交换 机 组 成 的 核心 层 。 
(2) 由 用 于 实现 策略 的 路 由 器 和 交换 机 构成 的 汇聚 层 。 
(3) 通过 用 以 连接 用 户 的 低 端 交换 机 等 构成 的 接 入 层 。 
核心 层 是 网 络 高 速 交换 的 主干 ， 接 入 层 为 用 户 提供 了 在 本 地 网 段 访问 应 用 系统 的 能 力 ， 
具有 过 滤 MAC 地 址 、 绑 定 了 地 址 等 功能 。 


1.2.3 同步 练习 


【说 明 】(2014 年 上 半年 下 午 试题 一 ) 
某 单 位 计划 部 署 园 区 网 络 ， 该 单位 总 部 设 在 A 区 ， 另 有 两 个 分 支 机构 分 别 设 在 B 区 和 
C 区， 各 个 地 区 之 间距 离 分 布 如 图 1-7 所 示 。 


1-7 各 地 区 之 间距 离 分 布 


该 单位 的 主要 网 络 业务 需求 在 A 区 ， 该 网 络 中 心 及 服务 器 机 房 亦 部 署 在 A 区 ; B 区 的 
网 络 业务 流量 需求 远大 于 C 区 ; C 区 虽然 业务 流量 小 ， 但 是 网 络 可 靠 性 要 求 高 。 根 据 业 务 
需要 ， 要 求 三 个 区 的 网 络 能 够 互通 并 且 都 能 够 访问 互联 网 ， 同 时 基于 安全 考虑 ， 单 位 要 求 
采用 一 套 认 证 设备 进行 身份 认证 和 上 网 行为 管理 。 

【问题 1】(6 分 ) 

为 了 保障 业务 需求 ， 该 单位 采用 两 家 运营 商 接 入 Internet。 根 据 题目 需求 ， 回 答 下 列 
问题 : 

1. 两 家 运营 商 的 Internet 接 入 线路 应 部 署 在 哪个 区 ? 为什么? 

2. 网 络 运营 商 提供 的 MPLS-VPN 和 千 兆 裸 光纤 两 种 互联 方式 ， 哪 一 种 可 靠 性 高 ? 为 
什么 ? 

3. 综合 考虑 网 络 需 求 及 运营 成 本 ， 在 AB 区 之 间 与 AC 区 之 间 分 别 采用 上 述 哪 种 方式 
进行 互联 ? 

【问题 2】(8 分 ) 

该 单位 网 络 部 署 接 入 点 情况 如 表 1-1 所 示 。 

根据 网 路 部 署 需求 ， 该 单位 采购 了 相应 的 网 络 设备 ， 请 根据 题目 说 明 及 表 1-1， 确 定 
表 1-2 所 示 的 设备 数量 及 合理 的 部 署 位 置 ( 注 : 不 考虑 双 绞 线 的 距离 限制 )。 


表 1-1 单位 网 络 部 署 接 入 点 情况 
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区 域 | 汇聚 点 | 接 入 点 备 注 
办 公 楼 124 所 有 区 域 采用 三 层 局 域 网 结构 部 署 , 其 中 A 区 采用 双核 心 交换 机 
资料 室 86 宛 余 。 所 有 汇聚 点 采用 单 模 光纤 上 联 至 核心 交换 机 。 所 有 接 入 交 
A 网 管 中 心 “| 78 换 机 采用 双 绞 线 上 联 至 汇聚 交换 机 
设计 中 心 ”| 200 
生产 区 115 
办 公 楼 106 


培训 中 心 


表 1-2 设备 及 部 署 区 域 


设备 类 型 部 署 区 域 
核心 交换 机 A 区 
核心 交换 机 pg 
核心 交换 机 lt [cx 
汇聚 交换 机 A 区 
汇聚 交换 机 B 区 
汇聚 交换 机 C 区 
SFP 单 模 模 块 四 区 
SFP 单 模 模块 _8) 
SFP 单 模 模块 _ 区 
24 口 接 入 交换 机 OY . A 区 
24 口 接 入 交换 机 9 B 区 
24 口 接 入 交换 机 从 C 区 
千 兆 服务 器 接 入 交换 机 A 区 
服务 器 3 A 区 
服务 器 _® 区 
认证 及 流 控 设备 A 区 
防火 墙 A 区 


【问题 3】(6 分 ) 
根据 题目 要 求 ， 在 图 


1-8 的 方 框 中 画 出 该 单位 A 区 网 络 拓扑 示意 图 (汇聚 层 以 下 不 画 )。 


图 1-8 问题 3 图 示 


1.2.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

1.A 区。 原因 : A 区 是 网 络 中 心 ，B 区 和 C 区 接 入 Internet 流量 都 需要 经 过 A 区 。 

2. 裸 光纤 高 。 原 因 : MPLS-VPN 是 本 地 线路 走 SDH 专线 ， 链 接 到 运营 商 的 专 网 
MPLS-VPN。 裸 光纤 是 物理 层 的 点 对 点 链接 ， 所 以 可 靠 性 当然 是 裸 光 纤 高 。 

3. AB 区 之 间 用 裸 光纤 ，AC 区 之 间 用 MPLS-VPN。 

【问题 2】 

(D2 QC GB WA (5)27 (019 m7 (A 

【问题 3】 

A 区 网 络 拓扑 如 图 1-9 所 示 。 


千 兆 服务 器 。 防火 墙 
接 入 交换 机 
Ee 认证 流 控 设备 


图 1-9 A 区 网 络 拓扑 示意 图 


解析 : 
【问题 1】 
1. A 区 是 网 络 中 心 和 服务 器 机 房 部 署 区 域 ， 便 于 维护 整个 企业 网 络 。 两 个 区 域 的 网 络 
能 够 互联 互通 且 都 能 访问 因特网 ， 且 接 入 方式 部 署 在 中 间 A 区 ，ABC 区 之 间 总 体 跨 越 里 程 
距离 最 短 ， 总 体 成 本 最 小 。 
2. MPLS-VPN 是 本 地 线路 走 SDH 专线 ， 连 接 到 运营 商 的 MPLS-VPN 专 网 。 裸 光纤 是 
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物理 层 的 点 对 点 连接 ， 所 以 可 靠 性 当然 是 裸 光纤 高 。 

3.AB 区 之 间 用 裸 光纤 ，AC 之 间 用 MPLS-VPN 方式 . 因为 B 区 的 业务 流量 需求 量 大 于 
C 区 ， 因 此 ， 需 要 高 带宽 。 而 由 于 AC 之 间 业 务 流量 小 ， 二 者 相距 80km， 如 果 采 用 传输 带 
宽 远大 于 MPLS-VPN 的 裸 光纤 ， 由 于 距离 较 远 ， 会 造成 过 高 的 成 本 ， 所 以 出 于 成 本 考虑 ， 
用 MPLS 合适 。 

【问题 2】 

A 区 采用 双核 心 交换 机 宛 余 ， 其 核心 交换 机 数量 为 2 台 。A 区 汇聚 交换 机 为 5 台 ， 当 
模 光 纤 双 线 宛 余 至 核心 交换 机 ， 对 单 模 模块 的 数量 要 求 在 10 个 以 上 , 考虑 到 A 区 双核 心 之 
间 的 以 太 网 通道 ， 以 及 A 区 防火 墙 、 认 证 与 流 控 设 备 、 出 口 路 由 器 之 间 的 光纤 互联 ，A 区 
所 需要 的 光纤 模块 是 最 多 的 。B 区 3 台 汇聚 交换 机 ， 所 要 求 的 单 模 光 纤 模块 数量 次 之 ，C 区 
2 台 汇聚 交换 机 所 要 求 的 单 模 光 纤 模块 数量 最 少 。A 区 共 124+86+78+200+115=603 个 信息 
点 ， 每 个 接 入 层 交 换 机 会 用 掉 1 个 端口 连接 汇聚 层 交 换 机 ， 那么 A 区 任何 一 台 24 口 接 入 层 
交换 机 能 接 主机 的 端口 数量 为 23 个 ， 所 以 A 区 需要 的 接 入 层 交 换 机 数量 为 27 台 
(603/23<26.217， 向 上 取 整 为 27 台 )。 同 理 ，B 区 接 入 层 交 换 机 数量 为 19 台 ，C 区 接 入 层 交 
换 机 数量 为 7 台 。 路 由 器 作为 互联 设备 ， 应 该 放置 在 A 区。 

【问题 3】 

A 区 采用 双核 心 交换 机 ， 汇 聚 层 可 采用 单 模 光 纤 双 线 宛 余 上 联 至 两 台 核心 交换 机 ， 核 
心 交换 机 之 间 可 通过 以 太 网 通道 技术 以 提高 带宽 和 链 路 备份 。 

核心 交换 机 可 直接 连 入 防火 墙 ， 防火墙 通 过 千 兆 服务 器 接 入 交换 机 ， 保 障 服务 器 区 域 
的 安全 。 双 核心 交换 机 共 两 条 光纤 连接 认证 与 流 控 设备 ， 最 后 由 认证 与 流 控 设备 连接 出 口 
路 由 器 ， 出 口 路 由 器 采用 双 ISP 互联 方式 进入 Internet。 


1.3 ”网 络 系统 的 构建 和 测试 


1.3.1 考点 辅导 


1.3.1.1 安装 工作 

1. 网 络 实施 过 程 

网 络 实施 是 在 网 络 设计 的 基础 上 ， 进 行 设备 的 购买 、 安 装 、 调 试 、 培 训 和 系统 切换 等 
工作 。 网 络 实施 包括 以 下 步骤 。 

1) 工程 实施 计划 

安装 网 络 设备 之 前 ， 需 要 准备 一 个 工程 实施 计划 ， 列 出 需 安装 的 项 目 、 安 装 费 用 、 安 
装 负责 人 等 ， 以 便 控 制 投资 和 进度 ， 按 进度 要 求 完 成 安装 任务 。 工 程 实施 计划 必须 包括 网 
络 实施 阶段 的 设备 验收 、 人 员 培 训 、 系 统 测试 以 及 网 络 运行 维护 等 具体 事务 的 处 理 ， 必 须 
合理 安排 工程 实施 的 时 间 ， 并 充分 调动 有 关 人 员 的 积极 性 。 

2) 网络 设备 到 货 验收 

订购 的 网 络 设 备 到 货 后 ， 在 安装 调试 之 前 ， 必 须 先 进行 严格 的 功能 和 性 能 测试 ， 以 保 
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证 购买 的 产品 能 很 好 地 满足 用 户 的 需要 。 

3) ”设备 安装 

网 络 系统 的 工程 安装 和 调试 要 由 专门 的 技术 人 员 人 负责。 安装 项 目 一 般 可 分 为 布线 系统 、 
网 络 设备 、 主 机 服务 器 、 系 统 软件 、 应 用 软件 等 几 个 部 分 ， 不 同 部 分 应 由 专门 的 工程 师 进 
行 安装 调试 。 

4) ”系统 测试 

系统 安装 完毕 ， 要 进行 系统 测试 。 系 统 测试 是 保证 网 络 安全 可 靠 运行 的 基础 。 

5) ”系统 试 运行 

系统 调试 完毕 后 ， 进 入 试 运行 阶段 。 这 一 阶段 的 任务 主要 是 验证 系统 在 功能 上 、 性 能 
上 是 否 达到 预期 目标 ， 若 没有 达到 ， 则 需要 不 断 调整 直至 达到 用 户 要 求 。 

6) ”系统 切换 

系统 经 过 一 段 时 间 的 试 运行 ， 达 到 稳定 可 靠 的 水 平 ， 就 可 以 进行 系统 切换 了 。 系 统 切 
换 是 指 从 原 有 人 工 或 计算 机 系统 上 迁移 到 新 平台 上 工作 。 具 体 有 三 种 切换 方法 ， 双 运行 方 
式 (两 种 运行 方式 同时 运行 )、 逐 步 蔡 代 法 (用 新 系统 逐步 替代 原 有 的 网 络 系统 ) 和 直接 切换 法 
(停止 旧 系 统 ， 启 动 新 系统 )。 显 然 ， 这 三 种 方法 的 可 靠 性 和 成 本 各 不 相同 ， 应 视 具体 情况 
而 定 。 

7) ”人 员 培 训 

对 有 关 人 员 的 培训 是 网 络 建设 的 重要 一 环 ， 也 是 保证 业务 正常 开展 的 一 个 重要 因素 。 
一 个 规模 大 、 结 构 复 杂 的 网 络 系统 往往 需要 网 络 管理 员 来 维护 网 络 、 协 调 网 络 资源 的 使 用 。 

2. 结构 化 综合 布线 系统 


结构 化 综合 布线 系统 (SCS) 是 一 种 模块 化 、 灵 活性 极 高 的 建筑 物 和 建筑 群 内 的 信息 传输 
系统 。 它 是 一 种 集成 化 的 通用 传输 系统 ， 利 用 双 绞 线 或 光线 来 传输 建筑 物 内 的 多 种 信息 。 

在 现代 化 的 大 型 建筑 中 ， 除 计算 机 网 络 系统 以 外 ， 通 常 还 会 有 电话 系统 、 楼 宇 控制 系 
统 等 各 种 专业 布线 系统 。 传 统 的 做 法 是 : 为 不 同 的 专业 系统 配置 不 同 的 线 缆 、 插 座 及 接头 
等 不 同 的 布线 材料 来 构成 各 自 的 网 络 ， 连 接 这 些 不 同 网 络 的 插头 、 插 座 及 配 线 架 互 不 兼容 ， 
只 要 变动 终端 机 的 位 置 ， 就 得 重新 布 放 新 的 线 缆 ， 安 装 新 的 插座 。 在 这 种 传统 的 布线 方式 
下 ， 因 办 公 室 的 重新 规划 及 办 公设 备 的 变更 而 导致 的 布线 系统 的 变更 要 耗费 大 量 的 金钱 和 
时 间 ， 同 时 ， 对 于 布线 系统 的 日 常 维护 和 管理 、 故 障 的 检查 和 排除 都 不 太 方 便 。 

为 解决 传统 布线 方式 中 的 种 种 次 端 ， 工 业界 推出 了 结构 化 综合 布线 系统 。SCS 将 所 有 
的 语音 、 数 据 、 图 像 及 监控 设备 的 布线 组 合 在 一 套 标 准 的 布线 系统 上 ， 采 用 统一 的 线 缆 、 
插头 、 插 座 及 配 线 架 ， 当 终端 机 的 位 置 需要 变动 时 ， 只 需 将 其 插入 新 地 点 的 插座 上 ， 然 后 
做 一 些 简单 的 跳 线 即 可 ， 不 需要 再 布 放 新 的 线 缆 ， 也 不 需要 再 安装 新 的 插 孔 。 另 外 ，SCS 
采用 星 型 结构 ， 系 统 的 管理 维护 及 故障 的 检查 和 排除 也 非常 方便 。SCS 以 其 高 度 的 灵活 性 
及 多 元 化 服务 越 来 越 受到 人 们 的 重视 。 

SCS 可 以 划分 为 以 下 6 个 子 系统 。 

4 ， 工作 区 子 系统 (用 户 端子 )。 
水 平 布线 子 系统 。 
干线 子 系统 。 
设备 间 子 系统 。 


@ @ 多 
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4 管理 子 系统 。 

4 ”建筑 群 子 系统 。 

1) 工作 区 子 系 统 

工作 区 子 系统 是 结构 化 综合 布线 系统 中 将 用 户 的 终端 设备 连接 到 布线 系统 的 子 系统 。 
工作 区 子 系统 所 包含 的 硬件 包括 信息 插座 、 插 座 盒 (或 面板 )、 连 接 软 线 以 及 适配器 或 连接 器 
等 连接 附件 。 

工作 区 是 一 个 独立 的 需要 设置 终端 设备 的 区 域 ， 它 的 服务 面积 一 般 按 5~10 mm? 估算 ， 
每 个 工作 区 设置 一 个 电话 插座 和 一 个 计算 机 插座 。 信 息 插座 是 终端 设备 与 水 平子 系统 连接 
的 接口 ，8 针 模 块 化 信息 插座 是 为 所 有 的 综合 布线 系统 推荐 的 标准 IO 插座 。 

信息 插座 的 数量 一 般 由 使 用 者 的 数量 决定 ， 如 果 使 用 者 的 数量 不 能 确定 ， 有 一 些 经 验 
值 可 供 参 考 。 根 据 经 验 ， 在 办 公 环 境 下 一 般 可 考虑 9 mm 设置 一 个 工作 区 ， 安 装 一 对 信息 插 
座 (一 个 接 电话 ， 一 个 接 计算 机 )。 但 这 仅 是 一 个 参考 ， 在 具体 设计 和 施工 过 程 中 ， 设 计 单 位 
和 用 户 单位 应 根据 具体 情况 灵活 掌握 。 

2) ”水 平 布线 子 系统 

水 平 布线 子 系统 是 结构 化 综合 布线 系统 中 连接 用 户 工作 区 与 布线 系统 主干 的 子 系统 。 
水 平 布线 子 系统 由 每 层 配 线 间 至 信息 插座 的 配 线 电缆 和 工作 区 用 的 信息 插座 等 组 成 。 在 结 
构 化 综合 布线 系统 中 ， 水 平 布线 子 系统 起 着 支线 的 作用 ， 它 将 所 有 用 户 端 通过 一 些 连接 件 
连接 到 配 线 设备 上 。 

水 平 布线 方式 受到 很 多 因素 的 影响 ， 常 用 的 布线 方式 大 致 有 两 种 ， 一 种 是 直接 铺设 管 
线 方式 ， 它 采用 星 状 结构 ， 利 用 金属 线 槽 或 金属 管 从 布线 系统 的 干线 接线 间或 卫星 接线 间 
直接 引 到 每 个 信息 点 ; 另 一 种 是 线 槽 管道 布线 法 ， 通 常 是 在 天 花 板 内 安装 线 槽 ， 再 用 管线 
从 线 槽 引 到 每 个 插座 。 

在 新 建 建筑 中 ， 布 线 系统 的 设计 应 在 设计 大 楼 的 图 纸 时 考虑 ， 并 融 进 大 楼 的 弱电 图 中 
以 便 在 施工 过 程 中 暗 铺 相关 的 线 槽 和 管线 ， 预 留 墙 面 出 口 ， 安 装 插座 底 盒 。 

3) 干线 子 系统 
干线 子 系统 是 结构 化 综合 布线 系统 中 连接 各 管理 间 、 设 备 间 的 子 系统 ， 又 称 垂直 子 系 
统 。 干 线 子 系统 是 综合 布线 系统 的 骨干 ， 包 括 以 下 几 个 方面 。 

{干线 电线 走 线 用 的 垂直 或 水 平 通 道 。 

设备 间 与 网 络 接口 之 间 的 连接 电缆 。 

设备 间 与 建筑 群 子 系统 之 间 的 连接 电缆 。 
干线 接线 间 与 各 卫星 接线 间 之 间 的 连接 电缆 。 

% ” 主 设备 间 与 计算 机 中 心 之 间 的 电缆 。 

综合 布线 系统 的 干线 可 根据 距离 的 远近 和 用 户 对 传输 速率 及 传输 质量 的 要 求 ， 选 择 大 
对 数 双 绞 线 或 光缆。 一 般 在 楼 内 的 语音 通信 采用 3 类 的 大 对 数 双 绞 线 作 为 主干 ， 数 据 通信 
可 以 采用 高 品质 的 5 类 双 绞 线 ， 也 可 以 采用 光缆 ， 如 果 电 磁 干 扰 严 重 ， 则 推荐 采用 光线 作 
为 数据 主干 。 在 做 干线 子 系统 的 设计 时 ， 首 先 要 确定 每 一 层 楼 的 干线 需求 ， 总 结 出 整 座 楼 
的 干线 总 体 需 求 ， 确 定 干线 电缆 的 种 类 及 其 大 小 尺寸 ， 然 后 确定 干线 电缆 的 路 由 通道 。 
干线 的 路 由 通道 有 两 大 类 ， 即 封闭 型 和 开放 型 。 开 放 型 通道 通常 是 指 在 建筑 物 的 地 址 
集中 安装 大 型 通信 设备 的 场所 ， 如 PABX( 自 动用 户 小 交换 机 )、 大 型 计算 机 、 计 算 机 网 络 通 
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信 中 枢 等 。 

4) 设备 间 子 系统 

设备 间 子 系统 主要 用 来 安放 网 络 关键 设备 ， 地 位 十 分 重要 。 并 非 每 一 个 综合 布线 系统 
都 有 设备 间 子 系统 ， 但 在 大 型 建筑 物 中 一 般 是 有 的 ， 而 且 有 时 还 不 止 一 个 。 设 备 间 子 系统 
中 的 电话 、 数 据 、 计 算 机 主机 设备 及 其 保安 配 线 设备 宜 设 在 一 个 房 内 。 必 要 时 ， 也 可 以 分 
别 设置 ， 但 程控 交换 机 及 计算 机 主机 房 距离 设备 间 不 宜 太 远 。 设 备 间 的 位 置 及 大 小 应 根据 
设备 的 数量 、 规 模 、 最 佳 网 络 中 心 等 内 容 综 合 考虑 确定 。 在 设备 间 子 系统 的 设计 和 安装 过 
程 中 ， 还 需要 综合 考虑 配 电 系统 (不 间断 电源 UPS) 和 安全 因素 (设备 接地 等 )。 

5) ”管理 子 系统 

管理 子 系统 是 结构 化 综合 布线 系统 中 对 布线 电缆 进行 端 接 及 配 线 管理 的 子 系统 。 

管理 子 系统 通常 设置 在 一 幢 大 楼 的 中 央 设 备 机 房 和 各 个 楼 层 的 配 线 间 ， 一 般 由 配 线 架 
和 相应 的 跳 线 组 成 。 通 过 管理 子 系统 ， 用 户 可 以 在 配 线 架 上 灵活 地 更 改 、 增 加 、 转 换 和 扩 
展 线 路 ， 而 不 需要 专门 的 工具 或 专业 的 技术 人 员 。 正 是 通过 这 些 功 能 ， 结 构 化 综合 布线 系 
统 才 具有 传统 布线 无 法 比拟 的 开放 性 、 扩 展 性 和 灵活 性 。 

6) ”建筑 群 子 系统 
建筑 群 子 系统 是 结构 化 综合 布线 系统 中 由 连接 楼 群 之 间 的 通信 传输 介质 及 各 种 支持 设 
备 组 成 的 子 系统 。 建 筑 群 子 系统 也 称 为 户外 子 系统 ， 其 传输 介质 除了 各 种 有 线 手 段 之 外 ， 
还 包含 其 他 无 线 通信 手段 ， 如 微波 、 无 线 电 通信 等 。 

户外 电缆 在 进入 大 楼 时 通常 在 入 口 处 经 过 一 次 转 接 接 入 户 内 系统 ， 在 转 接 处 可 以 加 上 
电器 保护 设备 。 现 代 化 电话 通信 系统 中 的 通信 线路 在 进入 楼 群 时 一 般 都 考虑 这 一 点 ， 主 要 
是 避免 因 雷 击 或 与 高 压 线 接触 而 给 人 和 设备 带 来 的 损失 。 建 筑 群 子 系统 的 布线 方式 有 以 下 
几 种 : 地 下 管道 敷设 方式 、 直 埋 沟 内 敷设 方式 和 架空 等 。 不 同方 式 各 有 其 优 缺 点 。 

结构 化 综合 布线 方面 的 标准 有 EIA/TIA 568A 和 EN 50173, 分 别 是 北美 和 欧洲 标准 。 它 
们 都 规定 利用 铜 介 质 双 绞 线 的 特性 实现 数据 链 路 的 平衡 传输 ， 只 是 在 抗 电磁 干扰 要 求 方面 
有 差异 。ISO/IEC 11801 是 1995 年 由 ISO 确定 的 国际 标准 。 我 国 相关 规范 如 下 。 

”GB/T 50311 一 2000《 建 筑 与 建筑 群 综合 布线 系统 工程 设计 规范 》。 

”GB/T 50312 一 2000《 建 筑 与 建筑 群 综合 布线 系统 工程 验收 规范 》。 

8 ”GB 2887 一 89《 计 算 站 场地 技术 条 件 》。 

4 GB 50174 一 93《 电 子 计算 机 机 房 设计 规范 》。 

”GB 9361 一 88《 计 算 站 场地 安全 要 求 》。 

3. 网 络 主干 设备 安装 调试 

在 网 络 布线 工程 完工 且 验 收 合格 后 ， 一 旦 选 配 的 局 域 网 主干 设备 到 货 ， 就 进入 了 网 络 
主干 构建 阶段 。 构 建 从 设备 安装 调试 开始 ， 通 常 由 设备 供应 商 派出 的 技术 人 员 进行 。 网 络 
管理 员 的 任务 是 在 参加 设备 安装 调试 工作 的 同时 尽快 熟悉 系统 构建 的 操作 ， 并 且 把 好 安装 
调试 质量 关 。 
网 络 主干 交换 设备 安装 调试 的 步骤 通常 如 下 。 
1) “ 拆 箱 检验 
网 络 管理 员 与 设备 供应 商 共同 打开 硬件 设备 的 包装 箱 ， 确 认 其 中 的 设备 符合 订购 要 求 ， 
确认 包装 中 的 内 容 与 装 箱 单一 致 ， 确 认 设 备 在 运输 过 程 中 没有 受 损 ， 确 认 所 配置 的 软件 、 
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说 明 书 和 附件 齐备 。 

2) 设备 安装 

网 络 主干 使 用 的 交换 机 通常 都 是 机 架 式 设备 ， 配 备 带 有 风扇 的 专门 机 柜 。 将 交换 机 通 
过 支架 安装 固定 在 机 柜 内 。 注 意 : 要 确认 电源 插座 的 电压 和 设备 卡 上 规定 的 电压 相符 ， 连 
接 好 设备 电源 。 

3) ”连接 网 络 线 缆 

交换 机 上 常见 的 双 绞 线 通信 端口 有 两 种 : 一 种 是 供 直接 连接 用 户 设备 的 直通 电缆 端口 ; 
另 一 种 是 供与 其 他 交换 机 连接 的 级 联 端 口 。 线 线 用 的 都 是 RJ-45 插头 ,安装 时 要 注意 看 说 
明 书 。 

配备 千 光 以 太 网 的 光纤 接口 交换 机 ， 需 要 使 用 不 同 的 千 兆 以 太 网 接口 转换 器 (GBIC)， 
分 别提 供 对 100Base-LX、1000Base-SX 和 1000Base-LH 等 单 模 光 纤 和 多 模 光 纤 使 用 长 波 / 短 
波 激光 信号 传输 的 支持 。GBIC 使 用 SC( 方 型 接口 ) 类 型 的 光缆 插头 ,光缆 另 一 端 使 用 的 插头 
类 型 要 与 所 连接 的 设备 匹配 。 注意: 使 用 光纤 跳 线 时 ， 光 纤 类 型 要 与 GBIC 支持 的 光纤 类 型 
匹配 。 最 后 根据 网 络 设计 方案 将 交换 机 网 络 线 缆 连 接 好 。 

4) ”连接 交换 机 控制 台 设 备 

交换 机 通常 都 提供 一 个 串 行 接口 ， 网 络 管理 员 可 以 通过 该 接口 连接 计算 机 终端 设备 ， 
监控 、 配 置 、 调 试 和 管理 交换 机 。 通 常 ， 技 术 人 员 通 过 交换 机 配件 中 提供 的 转换 线 绕 ， 将 
一 台 笔 记 本 电脑 或 台式 计算 机 连接 到 交换 机 上 标识 为 控制 台 的 串 行 口 ， 在 用 作 控 制 台 的 计 
算 机 上 启动 终端 仿真 程序 。 这 种 管理 方式 的 优点 在 于 无 论 交 换 机 是 否 与 网 络 连通 ， 都 可 以 
通过 计算 机 进行 配置 管理 操作 。 

5) 加 电 调 试 

在 上 述 准备 工作 完成 后 ， 可 以 打开 交换 机 电源 开关 ， 观 察 加 电 自 检 。 通 常 加 电 后 交换 
机 所 有 端口 的 指示 灯 都 闪 亮 ， 然 后 按照 设备 内 置 的 程序 进行 硬件 检测 。 在 检测 时 各 种 指示 
灯会 不 断 地 变化 状态 ， 报 告 检测 的 进展 情况 。 同 时 在 控制 台 计算 机 屏幕 上 有 文字 显示 。 设 
备 加 电 自 检 后 显示 的 具体 内 容 随 设 备 的 不 同 而 各 异 ， 需 要 仔细 阅读 说 明 书 。 如 果 一 切 与 说 
明 书 所 示 的 情况 一 样 ， 则 表示 加 电 自 检 通 过 。 

6) ”主干 设备 参数 配置 

在 完成 了 局 域 网 主干 设备 的 安装 调试 ， 设 备 自 检 正 常 ， 网 络 线 线 连接 完毕 后 ， 就 进入 
了 网 络 主干 设备 参数 配置 阶段 。 对 于 一 个 仅 用 于 小 型 办 公 室 环境 的 简单 局 域 网 来 说 ， 如 果 
数据 通信 仅 限 于 第 2 层 交 换 ， 接 入 层 交换 机 又 没有 需要 上 连 的 主干 交换 机 ， 设 备 提供 的 默 
认 参 数 往往 就 可 以 满足 联网 要 求 ， 将 入 网 设备 连接 到 交换 机 的 端口 后 ， 局 域 网 就 可 以 立即 
开始 工作 了 。 

但 是 ， 对 于 一 个 具有 多 个 层次 且 结 构 复杂 的 局 域 网 而 言 ， 必 须 在 完成 对 所 有 构成 网 络 
主干 的 交换 机 的 系统 参数 配置 后 ， 局 域 网 才能 够 正常 工作 。 

通常 在 进行 网 络 主干 设备 配置 前 ， 应 该 制订 一 个 计划 ， 并 且 将 计划 以 文档 形式 确认 下 
来 ， 画 出 网 络 布局 示意 图 。 在 计划 中 ， 应 该 对 各 个 设备 的 名 称 、 访 问 密码 、 设 备 地 址 、 设 
备 模块 和 网 络 接口 配置 、 设 备 链 路 的 使 用 、 设 备 上 运行 的 网 络 协议 和 网 络 管理 工作 站 等 做 
出 规定 。 

进行 交换 机 的 参数 配置 通常 有 两 种 途径 : 通过 与 交换 机 控制 台 端口 连接 的 计算 机 作为 
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本 地 控制 台 进 行 配置 和 通过 网 络 登录 作为 远程 控制 台 进行 配置 。 
4. 实施 注意 事项 
在 网 络 实施 任务 中 的 注意 事项 如 下 。 
选择 资质 合格 的 施工 单位 。 
加 强 工程 协调 。 
照顾 后 续 施 工 步骤 。 
把 好 产品 关 。 
把 好 工程 质量 关 。 
特别 关注 光纤 布线 。 
注意 布线 系统 的 防火 。 
4 重视 屏蔽 布线 系统 的 接地 问题 。 
在 布线 实施 的 过 程 中 ， 施 工 部 门 必须 对 所 安装 的 线 缆 系 统 进行 相关 标准 的 测试 ， 以 保 
证 质量 的 可 靠 性 。 
1.3.1.2 测试 
测试 工作 伴随 着 整个 网 络 工程 的 全 过 程 ， 无 论 是 布线 安装 还 是 系统 调试 ， 都 需要 进行 
反复 的 测试 和 确定 。 
1. 测试 计划 
测试 计划 应 包括 下 列 5 个 方面 的 内 容 。 
1) ”简要 说 明 
简要 说 明 包括 工程 的 概况 和 需要 达到 的 主要 指标 。 
2) ”测试 内 容 
测试 内 容 包括 逐 项 列 出 的 测试 步骤 、 名 称 、 内 容 和 预期 达到 的 目标 。 
3) ”测试 清单 
测试 清单 是 对 每 项 测试 内 容 列 出 测试 的 部 位 和 参与 测试 的 单位 ， 包 括 进度 的 安排 、 测 
试 工具 和 相应 的 条 件 (设备 和 软件 等 )。 
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4) 测试 设计 说 明 
测试 设计 说 明 是 对 每 项 测试 内 容 的 测试 设计 进行 考虑 ， 包 括 测试 的 控制 方式 、 输 入 条 
件 和 预期 的 输出 结果 。 


5) 评价 准则 

评价 准则 用 来 说 明 测试 所 能 检查 的 范围 及 其 局 限 性 ， 以 及 用 来 判断 测试 工作 是 否 通过 
的 评价 尺度 , 包括 合理 的 输出 结果 、 测 试 输出 结果 与 预期 输出 结果 之 间 容 许 出 现 的 偏差 范围 。 

测试 工作 完成 后 ， 应 提交 一 份 测试 分 析 报告 。 该 报告 主要 包括 下 列 内 容 : 概要 说 明 、 
测试 结果 、 结 论 、 原 因 分 析 、 建 议和 评价 。 

2. 网 络 测试 

网 络 测试 是 对 网 络 设备 、 网 络 系统 以 及 网 络 对 应 用 的 支持 进行 检测 ， 以 展示 和 证 明 网 
络 系统 能 否 满足 用 户 在 性 能 、 安 全 性 、 易 用 性 、 可 管理 性 等 方面 需求 的 测试 。 网 络 测试 的 
实施 一 般 包 括 以 下 环节 。 
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4 根据 测试 目的 ， 确 定 测试 目标 。 

4 ”在 对 相关 网 络 技术 和 实现 细节 透彻 掌握 的 基础 上 ， 设 计 测试 方案 。 
4 ”建立 网 络 负载 模型 。 

。 ”配置 测试 环境 ， 包 括 测试 工具 的 选择 及 必要 的 测试 工具 的 研发 。 
4 ”采集 和 整理 数据 。 
4 
4 
网 
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分 析 和 解释 数据 。 
准确 、 直 观 、 形 象 地 表示 测试 结果 。 
络 测试 包括 网 络 设备 测试 、 网 络 系统 测试 和 网 络 应 用 测试 3 个 层次 。 
网 络 设备 测试 
网 络 设备 测试 主要 包括 以 下 几 个 方面 : 功能 测试 、 可 靠 性 和 稳定 性 测试 、 一 致 性 测试 、 
互 操作 性 测试 和 性 能 测试 等 。 
(1) 功能 测试 用 来 验证 产品 是 否 具有 设计 的 每 一 项 功能 。 
(2) 可 靠 性 和 稳定 性 测试 往往 通过 加 重负 载 的 办 法 来 分 析 和 评估 系统 的 可 靠 性 和 稳 
定性 。 
(3) 一 致 性 测试 用 来 验证 产品 的 各 项 功能 是 否 符合 标准 。 
(4) 互 操作 性 测试 用 来 考查 一 个 网 络 产品 是 否 能 在 不 同 厂家 的 多 种 网 络 产 品 互联 的 网 
络 环境 中 很 好 地 工作 。 网 络 产品 不 同 于 其 他 产品 的 最 大 特点 是 必须 符合 标准 ， 不 同 的 网 络 
产品 之 问 要 能 互 操作 。 
(5) 性 能 测试 的 主要 目标 是 分 析 产 品 在 各 种 不 同 的 配置 和 负载 条 件 下 的 容量 和 对 负载 
的 处 理 能 力 ， 如 交换 机 的 吞吐 量 、 转 发 延迟 等 。 
典型 的 网 络 设备 性 能 测试 方法 有 两 种 : 第 一 种 是 将 设备 放 在 一 个 仿真 的 网 络 环境 中 进 
行 测试 ， 第 二 种 是 使 用 专用 的 网 络 测试 设备 对 产品 进行 测试 。 
2) ”网 络 系统 测试 和 网 络 应 用 测试 
网 络 系统 测试 除了 普通 意义 上 的 物理 连通 性 、 基 本 功能 和 一 致 性 的 测试 以 外 ， 主 要 包 
括 网 络 系统 的 规划 验证 测试 、 网 络 系统 的 性 能 测试 、 网 络 系统 的 可 靠 性 与 可 用 性 的 测试 与 
评估 、 网 络 流量 的 测量 和 模型 化 等 。 
(D 网 络 系统 的 规划 验证 测试 主要 采用 的 两 个 基本 手段 是 模拟 和 仿真 。 
4 模拟 是 通过 软件 的 办 法 ， 建 立 网 络 系统 的 模型 ， 模 拟 实际 网 络 的 运行 。 通 过 设 定 
各 种 配置 和 参数 模拟 系统 的 行为 ， 对 系统 的 容量 、 性 能 以 及 对 应 用 的 支撑 程度 给 
出 定量 的 评价 。 这 对 于 大 型 网 络 的 规划 设计 是 不 可 缺少 的 环节 。 

4 仿真 是 指 通过 建立 典型 的 试验 环境 ， 仿 真实 际 的 网 络 系统 。 规 划 验 证 测试 的 目 
在 于 分 析 所 采用 的 网 络 技术 的 可 行 性 和 合理 性 ， 网 络 设计 方案 的 合理 性 ， 所 选 
络 设备 的 功能 、 性 能 等 是 否 能 够 合理 地 、 有 效 地 支持 网 络 系统 的 设计 目标 。 

(2) 网 络 系统 的 性 能 测试 是 指 通过 对 网 络 系统 的 被 动 测量 和 主动 测量 来 确定 系统 中 站 
点 的 可 达 性 、 网 络 系统 的 吞吐 量 、 传 输 速率 、 带 宽 利 用 率 、 丢 包 率 、 服 务 器 和 网 络 设备 的 
响应 时 间 、 产 生 最 大 网 络 流量 的 应 用 和 用 户 ， 以 及 服务 质量 等 。 此 项 工作 同时 可 以 发 现 系 
统 的 物理 连接 和 系统 配置 中 的 问题 ， 确 定 网 络 瓶颈 ， 发 现 网 络 问题 。 测 试 设备 记录 一 段 
间 内 的 网 络 流量 ， 实 时 和 非 实时 地 分 析 数 据 。 被 动 测量 不 干涉 网 络 的 正常 工作 ， 不 影响 
络 的 性 能 。 主 动 测量 向 网 络 发 送 特定 类 型 的 数据 包 或 网 络 应 用 ， 以 便 分 析 系 统 的 行为 。 
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(3) 网 络 系统 的 可 靠 性 与 可 用 性 的 测试 与 评估 。 系统 可 用 性 取决 于 系统 的 可 靠 性 MTTF) 
及 可 维护 性 (MTTR) 的 高 低 ， 其 中 可 靠 性 是 指 系统 服务 多 和 久 不 中 断 ， 可 维护 性 是 指 服务 中 断 
后 多 和 久 可 恢复 。 三 者 之 间 满 足 如 下 关系 : 

System Usability = MTTF / (MTTF + MTTR )* 100% 

其 中 , MTTF 是 指 平均 无 故障 时 间 ，MTTR 是 指 平均 故障 修复 时 间 , MTBF 是 指 平均 故 

障 间隔 时 间 。 有 MTBF =MTTF + MTTR， 故 
System Usability =MTTF / MTBR * 100% 

(4) 网 络 流量 的 测量 和 模型 化 。 网 络 流量 的 测量 和 模型 化 对 于 分 析 网 络 性 能 和 带宽 区 
利用 率 、 指 导 网 络 流量 管理 、 开 发 高 效 的 网 络 应 用 十 分 重要 。 这 方面 的 工作 主要 有 以 下 几 
个 方面 。 

4 产生 已 知 特征 的 流量 ， 使 该 流量 沿 网 络 传播 ， 最 后 回 到 测试 仪 。 记 录 和 分 析 流 量 

特性 的 任何 改变 (如 延迟 漂移 )。 

4 对 链 路 总 体 流量 的 测量 和 传输 时 间 、 吞 吐 量 、 带 宽 利用 率 等 进行 分 析 。 

”分析 特定 流量 的 特征 和 提供 的 QoS; 收集 一 个 时 间 段 内 的 测量 数据 进行 分 析 ， 分 

析 流 量 沿 网 络 传播 过 程 中 流量 特征 的 变化 和 网 络 流量 的 统计 行为 ， 建 立 流量 模型 。 

(5) 网 络 应 用 层次 上 的 测试 则 主要 体现 在 测试 网 络 对 应 用 的 支持 水 平 ， 如 网 络 应 用 的 
性 能 和 服务 质量 的 测试 等 。 例 如 ， 部 署 基 于 IP 的 语音 传输 VoIP 时 ， 最 直接 的 问题 是 网 络 
中 的 交换 机 和 路 由 器 设备 能 否 有 效 地 支持 语音 传输 ， 网 络 能 支持 多 大 的 语音 流量 、 多 少 个 
语音 通道 ， 如 果 网 络 支持 VoIP， 对 网 络 的 其 他 业务 特别 是 关键 业务 ， 会 产生 什么 样 的 影响 ; 
网 络 是 否 支持 服务 质量 QoS。 这 些 问题 都 需要 通过 网 络 应 用 测试 来 回答 。 

(6) 网 络 系统 测试 的 核心 工具 是 协议 分 析 仪 。 这 是 一 种 专用 的 网 络 测试 设备 ， 它 能 够 
连接 到 网 络 上 ， 产 生 并 向 网 络 发 送 数据 ， 捕 捉 网 络 数据 ， 分 析 数 据 。 协 议 分 析 仪 一 般 具 有 
网 络 监测 、 故 障 查 找 、 协 议 解 码 和 流量 产生 等 功能 。 

3. 网 络 设备 安全 性 测试 

现在 有 很 多 新 型 网 络 设备 尤其 是 网 络 边缘 路 由 器 增加 了 防护 功能 ， 阻 止 了 人 为 、 故 意 
的 网 络 攻击 。 然 而 ， 提 供 的 防护 会 不 会 对 正常 数据 转发 造成 影响 ? 有 什么 样 的 影响 ? 这 些 
很 难 从 理论 上 估计 ， 需 要 进行 必要 的 网 络 设备 安全 性 测试 。 

本 节 提 到 的 测试 项 ， 主 要 是 验证 网 络 设备 所 提供 的 基本 安全 功能 ， 并 检测 这 些 安全 功 
E 项 对 网 络 设备 运行 造成 的 影响 。 这 些 测试 项 分 为 访问 列表 测试 和 DOS 攻击 测试 两 大 类 。 

1) 访问 列表 测试 

访问 列表 测试 用 于 检测 边缘 路 由 器 的 访问 列表 能 否 起 到 防火 墙 的 作用 ， 访 问 列表 测试 
控制 网 络 传输 过 滤 数 据 报 文 ， 访 问 列表 测试 阻止 或 允许 数据 报 文通 过 网 络 接口 。 过 滤 依 据 
可 以 是 源 地 址 、 目 的 地 址 和 上 层 协议 号 。 边 缘 路 由 器 通过 将 进入 或 离开 的 数据 报 文 与 访问 
列表 中 的 过 滤 项 进行 比较 ， 决 定 允许 或 阻止 数据 报 文通 过 。 对 于 边缘 路 由 器 能 提供 的 访问 
列表 容量 ， 以 及 不 断 变化 的 访问 列表 对 数据 转发 的 影响 都 要 进行 测试 。 

2) ”DOS 攻击 测试 

DOS 攻击 测试 用 于 检测 边缘 路 由 设备 抵抗 “拒绝 服务 (DOS) 攻 击 ”的 能 力 。 当 设备 由 于 
伪造 的 服务 请 求 和 虚假 的 传输 而 变 得 非常 繁忙 时 ， 就 无 法 响应 正常 的 服务 请 求 ， 从 而 造成 
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损失 。DOS 攻击 测试 考验 网 络 设备 检测 并 阻止 某 种 特定 攻击 的 能 力 ， 并 在 检测 受到 某 种 攻 
击 、 设 备 超 负荷 运行 的 情况 下 ， 正 常 传输 转发 性 能 所 受 的 影响 。 

具体 的 网 络 设备 安全 性 测试 项 目 如 下 。 

4 访问 列表 性 能 测试 。 
虚假 源 地 址 攻击 测试 。 
LAND 攻击 检查 。 
SYN 风暴 检查 。 
Smurf 攻击 检查 。 
Ping 风暴 检查 。 
Teardrop 攻击 检查 。 
Ping to Death 检查 。 

4. 性 能 测试 

性 能 测试 包括 可 靠 性 测试 、 功 能 /特性 测试 、 吞 吐 量 测试 、 误 减 测 试 、 容 量规 划 测 试 、 
响应 时 间 测 试 、 可 接受 性 测试 和 网 络 瓶颈 测试 等 。 

1) “可 靠 性 测试 

可 靠 性 测试 是 使 被 测 网 络 在 较 长 时 间 内 (通常 是 24~72 小 时 ) 经 受 较 大 负载 ， 通 过 监视 
网 络 中 发 生 的 错误 和 出 现 的 故障 ， 验 证 在 高 强度 环境 中 网 络 系统 的 存活 能 力 ， 也 就 是 它 的 
可 靠 性 。 可 靠 性 测试 可 作为 接受 性 测试 的 一 部 分 ， 在 产品 评估 测试 中 可 作为 比较 测试 或 作 
为 产品 升级 进行 的 衰减 测试 的 一 部 分 。 采 用 的 负载 模式 很 重要 ， 越 贴近 真实 负载 模式 越 好 。 
可 靠 性 测试 中 使 用 网 络 分 析 仪 监控 网 络 运行 ， 捕 获 网 络 错误 。 

通常 在 较 长 时 间 段 内 和 持续 负载 下 ， 不 同 网 络 具有 不 同 级 别 的 存活 度 。 如 果 测 试 时 间 
足够 长 、 负 载 足够 大 ， 所 有 可 靠 性 测试 最 终 都 会 失败 。 

可 靠 性 测试 应 用 于 网 络 生命 周期 中 的 以 下 3 个 阶段 。 

4 计划: 作为 产品 评估 测试 的 一 部 分 ， 比 较 不 同 产品 或 建立 要 求 规范 。 

9 ”开发 : 验证 计划 中 的 要 求 是 否 能 在 系统 中 完全 实现 。 

。 ”组 建 : 作为 可 接受 性 测试 的 一 部 分 ， 在 网 络 运行 前 进行 ， 核 实 系统 是 否 达 到 要 求 。 

2) ”功能 /特性 测试 

特性 测试 核实 的 是 单个 命令 和 应 用 程序 功能 ， 通 常用 较 小 的 负载 完成 ， 关 注 的 是 用 户 
界面 、 应 用 程序 的 操作 以 及 用 户 与 计算 机 之 间 的 互 操作 。 特 性 测试 通常 由 开发 人 员 在 他 们 
的 工作 台 上 完成 ， 或 是 在 一 个 小 型 网 络 环境 下 由 测试 人 员 完 成 。 

功能 测试 是 面向 网 络 的 ， 核 实 的 是 应 用 程序 的 多 用 户 特征 和 在 重负 载 下 后 台 功 能 是 否 
能 正确 地 执行 ， 关 注 的 是 当 多 个 用 户 正 在 运行 应 用 程序 时 ， 网 络 和 文件 系统 或 数据 库 服务 
器 之 间 的 交互 。 功 能 测试 要 求 网 络 的 配置 和 负载 非常 接近 于 运行 环境 下 的 模式 。 该 测试 可 
以 在 运行 网 络 或 独立 网 络 实验 室 里 完成 。 它 只 应 用 于 网 络 生命 周期 中 的 以 下 3 个 阶段 。 

”开发 : 用 于 核实 在 期 望 的 运行 模式 下 ， 在 多 用 户 环境 里 ， 应 用 程序 的 运行 性 能 是 

否 达 到 要 求 。 
4 ”组 建 :在 应 用 程序 安装 前 完成 ， 可 独立 进行 ， 也 可 作为 接受 性 测试 的 一 部 分 ， 
于 核实 在 期 望 的 运行 模式 下 ， 应 用 程序 的 运行 性 能 是 否 达到 要 求 。 
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4 ”运行 : 该 阶段 测试 是 在 应 用 程序 运行 后 进行 的 ， 如 果 在 运行 系统 中 遇 到 了 问题 ， 
该 阶段 测试 用 于 核实 应 用 程序 是 否 如 最 初 应 用 时 那样 工作 。 
3) ”吞吐 量 测试 
吞吐 量 测试 和 应 用 程序 的 响应 时 间 测 试 相似 ， 但 检测 的 是 每 秒 钟 传输 数据 的 字 节 数 和 
数据 报 文 数 ， 而 不 是 响应 时 间 。 它 用 于 检测 服务 器 、 磁 盘子 系统 、 适 配 卡 /驱动 连接 、 网 桥 、 
路 由 器 、 集 线 器 、 交 换 器 和 通信 连接 。 香 吐 量 测 试用 于 测量 网 络 性 能 、 找 到 网 络 瓶颈 ， 以 
及 比较 不 同 产品 的 性 能 。 
吞吐 量 测试 不 使 用 程序 脚本 ， 它 借助 某 些 软件 对 网 络 服务 器 执行 文件 输入 /输出 操作 来 
产生 流量 ， 或 通过 某 些 软件 在 网 络 上 发 送 专门 的 数据 报 文 或 帧 。 该 测试 应 用 于 网 络 生命 周 
期 的 以 下 几 个 阶段 。 
4 计划 : 用 于 比较 网 络 产品 ， 为 模拟 网 络 节点 提供 运行 特征 和 要 求 规范 。 
《9 开发 : 用 于 核实 网 络 组 件 以 及 整个 网 络 是 否 达到 规范 要 求 的 水 平 。 
4 组建: 可 独立 进行 或 作为 可 接受 性 测试 的 一 部 分 ， 在 网 络 组 件 或 整个 网 络 正式 运 
行 之 前 核实 它们 是 否 满足 规范 的 要 求 。 
4) ”衰减 测试 
衰减 测试 是 将 硬件 或 软件 的 新 版 本 与 当前 版 本 在 性 能 、 可 靠 性 和 功能 等 方面 进行 比较 ， 
同时 验证 产品 升级 对 网 络 的 性 能 不 会 有 不 良 影响 。 衰 减 测试 混杂 了 很 多 为 完成 其 他 测试 任 
务 要 进行 的 测试 。 衰 减 测试 的 关键 是 要 保证 被 测 组 件 应 是 运行 网 络 中 最 关键 或 最 脆弱 的 
组 件 。 
衰减 测试 不 强调 升级 版 的 新 特性 。 新 特性 测试 在 衰减 测试 之 前 作为 功能 /特征 测试 的 一 
部 分 就 已 完成 。 尽 管 新 产品 应 该 解决 了 当前 版 本 中 的 错误 ， 但 它们 也 经 常 存在 一 些 以 前 没 
有 出 现 过 的 错误 ， 如 果 这 些 错误 发 生 在 产品 的 关键 部 分 ， 将 会 引起 严重 问题 。 衰 减 测 试 不 
需要 测试 产品 的 所 有 特性 ， 但 网 络 用 户 正常 运行 所 依靠 的 关键 功能 必须 在 测试 之 列 。 
衰减 测试 应 用 于 网 络 生命 周期 的 以 下 两 个 阶段 。 
8 开发 : 用 于 核实 产品 升级 版 是 否 能 满足 性 能 、 互 操作 性 和 可 靠 性 的 要 求 。 
4 升级; 在 采用 升级 版 本 之 前 用 该 项 测试 来 比较 升级 版 和 当前 版 ， 看 升级 版 是 否 和 
当前 版 一 样 满 足 性 能 、 互 操作 性 和 可 靠 性 的 要 求 。 
5) ”容量 规划 测试 
容量 规划 测试 用 于 检测 当前 网 络 中 是 否 存在 多 余 的 容量 空间 。 当 网 络 承受 的 总 负载 超 
过 网 络 总 容量 时 ， 网 络 的 性 能 或 吞吐 量 就 有 可 能 下 降 ， 所 以 在 网 络 负载 接近 这 一 临界 点 (网 
络 的 最 大 容量 ) 前 ， 就 要 根据 负载 增长 的 幅度 扩充 网 络 资源 。 
进行 该 项 测试 要 逐渐 增加 网 络 负载 ， 直 到 网 络 的 运行 性 能 、 可 接受 的 水 平 或 吞吐 量 不 
断 下 降 ， 达 不 到 设计 所 要 求 的 水 平 为 止 。 网 络 运行 负载 和 网 络 最 大 吞吐 量 之 间 的 差额 就 是 
现 有 系统 的 元 余 量 。 
容量 规划 测试 应 用 于 网 络 生命 周期 的 以 下 3 个 阶段 。 
4 计划: 用 于 估计 实施 该 系统 所 需要 的 资源 ， 也 可 用 于 成 本 分 析 和 制定 预算 。 
”开发 : 检测 系统 要 求 的 资源 是 否 满足 特定 的 响应 时 间 和 吞吐 量 的 要 求 。 
4 升级 ; 当 系统 响应 时 间或 吞吐 量 下 降 时 ， 重 新 选取 网 络 组 件 。 
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6) ”响应 时 间 测试 

响应 时 间 测 试用 于 检测 系统 完成 一 系列 任务 所 需 的 时 间 ， 本 项 测试 是 用 户 最 关心 的 。 
对 于 表示 层 ， 如 微软 的 Windows， 该 测试 是 指 在 不 同 桌面 之 间 切 换 或 装载 新 负载 所 需 的 时 
间 。 在 不 同 负载 即 不 同 实际 或 模拟 用 户 的 数目 下 运行 这 一 实验 ， 可 对 每 个 被 测试 的 应 用 程 
序 生成 一 个 负载 一 响应 时 间 曲 线 。 

在 应 用 程序 测试 中 ， 可 执行 一 系列 典型 网 络 动作 的 命令 ， 如 打开 、 读 、 写 、 查 找 和 关 
闭 文件 ， 这 些 命令 提供 了 最 好 的 负载 模拟 。 例 如 ， 对 每 个 进行 测试 的 工作 站 ， 检 测 它 在 几 
秒 内 能 完成 这 些 命 令 。 

响应 时 间 测试 应 用 于 网 络 生命 周期 的 以 下 几 个 阶段 。 

4 计划: 使 用 模拟 应 用 程序 进行 ， 检 测 规范 要 求 的 各 项 网 络 服务 。 

《9 ”开发 : 检验 规范 要 求 的 网 络 服务 是 否 正在 被 实现 。 

”组 建 :在 接受 和 组 建 之 前 ， 核 实 规范 要 求 下 的 网 络 服务 是 否 已 经 被 实现 。 

”运行 : 检测 网 络 服务 的 基准 和 变化 ， 这 可 能 是 针对 系统 质量 的 最 好 测试 。 

响应 时 间 测 试 应 该 包括 对 系统 可 靠 性 的 检测 。 和 常见 的 可 靠 性 问题 ， 如 在 路 由 器 或 服务 
器 中 大 量 丢 失 数 据 报 文 或 由 于 网 络 组 件 故障 引发 大 量 坏 数据 报 文 ， 将 严重 影响 网 络 的 响应 
时 间 ， 因 此 在 整个 测试 期 间 都 应 用 网 络 分 析 仪 监视 系统 错误 。 

7) “可 接受 性 测试 

可 接受 性 测试 是 在 系统 正式 实施 前 的 “ 试 运行 ”。 它 是 一 个 非常 有 效 的 方法 ， 可 确保 
新 系统 能 提供 良好 而 稳定 的 性 能 。 和 衰减 测试 一 样 ， 可 接受 性 测试 中 也 包含 多 项 测试 ， 如 
响应 时 间 测 试 、 稳 定性 测试 和 功能 /特性 测试 。 

可 接受 性 测试 应 用 于 许多 领域 ， 但 在 安装 或 升级 网 络 前 应 进行 的 网 络 可 接受 性 测试 则 经 
常 被 忽略 ,而 事实 上 , 可 接受 性 测试 能 为 网 络 购买 者 在 经 济 和 技术 上 提供 有 力 的 保证 和 参考 。 
可 接受 性 测试 可 以 仅 在 新 增加 的 部 件 上 完成 ， 将 已 存在 的 负载 加 上 新 增 程序 或 新 增 组 
件 可 能 产生 的 负载 作为 测试 使 用 的 负载 。 

可 接受 性 测试 应 用 于 网 络 生命 周期 的 以 下 两 个 阶段 。 

4 开发: 在 开发 阶段 前 定期 执行 ， 用 来 核实 要 求 的 标准 是 否 可 行 。 

4 组建: 在 网 络 投入 运行 之 前 应 用 ， 用 来 核实 系统 是 否 满足 所 有 要 求 。 

8) 网络 瓶颈 测试 

通过 网 络 瓶颈 测试 可 以 找到 导致 系统 性 能 下 降 的 瓶颈 。 测 试 中 需要 测试 和 计算 系统 的 
最 大 吞吐 量 ， 然 后 再 在 单个 网 络 组 件 上 进行 该 项 测试 ， 明 确 各 组 件 的 最 大 吞吐 量 。 通 过 计 
算 单个 组 件 的 最 大 吞吐 量 和 系统 最 大 吞吐 量 之 间 的 差额 ， 就 能 发 现 系 统 瓶 颈 的 位 置 以 及 哪 
些 组 件 有 多 余 的 容量 。 

系统 瓶颈 在 不 同 的 测试 案例 中 出 现 的 位 置 可 能 有 所 变化 。 例 如 ， 一 个 客户 业务 应 用 程 
序 测试 可 能 表明 服务 器 是 系统 的 瓶颈 ， 而 对 一 个 电子 邮件 系统 的 测试 则 可 能 表明 广域网 连 
接 才 是 网 络 的 限制 因素 。 如 果 可 以 在 测试 的 环境 中 重 现 引 起 问题 的 负载 ， 那 么 这 样 的 测试 
结果 对 解决 问题 将 有 很 大 帮助 。 

瓶颈 测试 应 用 于 网 络 生命 周期 的 以 下 两 个 阶段 。 

9 ”组建 可 以 作为 容量 计划 的 一 部 分 ， 用 于 帮助 相关 人 员 明 确 影响 网 络 性 能 和 响应 

时 间 的 瓶颈 位 置 。 
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4 运行 ;作为 故障 检测 的 一 部 分 ， 帮 助 相关 人 员 找 出 影响 网 络 性 能 或 引起 系统 问题 
的 网 络 瓶颈 。 

5. 测试 报告 

测试 报告 是 整个 项 目的 第 一 份 供 大 家 交流 和 供 领导 查阅 的 报告 ， 人 们 对 工程 的 满意 程 
度 和 对 工程 质量 的 认可 很 大 程度 上 来 源 于 这 份 报告 。 通 常 在 独立 网 络 测试 后 ， 要 总 结 测试 数 
据 ， 并 基于 此 对 测试 过 的 同类 产品 进行 排序 ， 而 系统 内 部 的 测试 仅 是 得 出 一 个 简单 的 结论 。 

测试 报告 呈现 的 内 容 和 采取 的 表现 形式 非常 重要 ， 测 试 报告 通常 包含 以 下 信息 。 

4 测试 目的 ; 用 一 句 或 两 句 话 解释 本 次 测试 的 目的 。 

4 结论; 从 测试 中 得 到 的 信息 推荐 下 一 步 的 行动 。 

9 测试 结果 总 结 : 对 测试 进行 总 结 并 由 此 得 出 结论 。 

4 测试 内 容 和 方法 : 简单 地 描述 测试 是 怎样 进行 的 ， 应 该 包括 负载 模式 、 测 试 脚本 
数据 收集 方法 ， 并 且 要 解释 采取 的 测试 方法 怎样 保证 测试 结果 和 测试 目的 的 相 
性 ， 以 及 测试 结果 是 否 可 重 现 。 

4 测试 配置 : 网 络 测试 配 置 用 图 形 表示 出 来 。 

测试 报告 的 形式 可 以 是 一 个 简短 的 总 结 (2 一 4 页 ), 也 可 以 是 一 个 很 长 的 书面 文档 (5 一 20 
页 )。 测 试 总 结 可 以 使 用 图 形 表示 测试 结果 ， 如 应 用 程序 的 响应 时 间 、 吞 叶 量 和 产品 评估 。 
而 系统 衰减 性 测试 、 配 置 规模 测试 和 应 用 程序 的 功能 /特性 测试 的 测试 报告 还 要 包括 更 多 的 
信息 。 

在 非常 特殊 的 情况 下 ,测试 报告 需要 长 达 50 页 。 它 通常 包括 从 项 目 开 始 到 结束 按时 间 
编排 的 所 有 活动 ， 以 及 非常 详细 的 问题 信息 和 解决 问题 的 信息 。 

6. 网 络 测试 工具 

网 络 测试 工具 一 般 包 括 以 下 几 个 。 

9 ”网 络 管理 和 监控 工具 。 

4 ” 建 模 和 仿真 工具 。 

4 ”服务 质量 和 服务 级 别管 理工 具 。 

网 络 管理 和 监控 工具 (如 HP 公司 的 OpenView) 能 够 在 网 络 测试 运行 过 程 中 提示 某 些 问 
题 的 网 络 事件 的 出 现 。 这 些 工具 可 以 是 驻 留 在 网 络 设备 中 的 应 用 软件 。 

协议 分 析 仪 也 能 被 用 于 监测 新 设计 的 网 络 ， 帮 助 分 析 通 信 的 行为 、 差 错 、 利 用 率 、 效 
率 以 及 广播 和 多 播 分 组 。 

建 模 工 具 和 仿真 工具 是 更 为 先进 的 用 来 测试 验证 网 络 设计 的 工具 。 仿 真 就 是 在 不 建立 
实际 网 络 的 情况 下 ， 使 用 软件 和 数学 模型 来 分 析 网 络 行为 的 过 程 。 利 用 仿真 工具 ， 可 以 根 
据 所 需要 测试 的 目标 开发 一 个 网 络 模型 ， 从 而 估计 网 络 性 能 ， 并 对 各 种 网 络 实现 方法 之 间 
的 差异 进行 比较 。 仿 真 工具 使 得 选择 比较 的 空间 变 得 更 大 ， 特 别 适 合 于 实现 和 检查 一 个 扩 
展 的 原型 系统 。 一 个 好 的 仿真 工具 往往 非常 昂贵 ， 实 现 的 技术 也 比较 复杂 ， 它 要 求 开发 人 
员 不 但 要 精通 统计 分 析 和 建 模 技术 ， 而 且 还 要 对 计算 机 网 络 有 所 了 解 。 

服务 级 别管 理工 具 是 一 种 比较 新 型 的 工具 ， 主 要 用 来 分 析 网 络 应 用 的 端 到 端 性 能 。 有 
些 工 具 能 够 管理 服务 质量 和 服务 级 别 ， 有 些 工具 能 够 监控 实时 应 用 的 性 能 ， 有 些 工 具 能 够 
预测 新 的 应 用 性 能 ， 有 些 工具 可 以 将 上 述 功 能 结合 起 来 实现 更 强大 的 功能 。 


冰 渤 
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1.3.1.3 评估 


评估 测试 不 只 针对 物理 设备 ， 更 重要 的 是 要 评估 、 比 较 各 种 网 络 技术 。 通 常 使 用 模拟 
测试 配置 和 模拟 负载 进行 子 系统 (如 路 由 器 ) 和 网 络 技术 (如 ATM 或 FDDI 等 ) 的 评估 。 评 估 测 
试 不 适用 于 全 局 网 络 ， 因 为 全 局 网 络 拓扑 负载 、 网 络 设备 太 多 ， 不 好 准确 定位 引起 问题 的 
原因 和 位 置 ， 不 能 进行 有 效 的 比较 。 多 数 评估 测试 在 专用 的 子 网 测试 环境 中 进行 。 

很 多 公司 都 有 其 固定 合作 的 网 络 设备 供应 商 ， 如 路 由 器 、 集 线 器 或 交换 机 的 供应 商 ， 
通常 很 少 再 做 设备 比较 测试 ， 但 网 络 技术 的 比较 测试 需要 经 常 进行 。 企 业经 常 面 对 选择 哪 
种 技术 以 及 怎样 比较 不 同 技 术 的 问题 ， 所 以 技术 评估 是 评估 测试 中 很 重要 的 一 项 。 

在 比较 设备 与 技术 时 ， 除 了 使 用 专用 于 待 测 设备 或 技术 的 工程 负载 外 ， 有 经 验 的 程序 
员 也 使 用 真实 负载 ， 使 用 真实 负载 可 以 了 解 待 测 设备 或 技术 在 特定 环境 下 的 运行 性 能 。 通 
过 两 种 负载 模式 检测 结果 的 比较 ， 可 以 获知 待 测 设备 还 有 多 少 多 余 容 量 。 

评估 测试 与 设备 或 技术 的 功能 /特征 测试 一 样 ， 用 于 比较 待 测 设备 或 技术 的 性 能 、 稳 定 
性 、 特 性 、 易 用 性 配置 和 管理 等 方面 的 功能 。 

评估 测试 实质 是 衰减 测试 的 基础 ， 评 估 测 试 中 对 几 种 设备 或 技术 进行 比较 ， 衰减 测试 
中 对 同一 设备 的 不 同 版 本 进行 比较 。 测 试 中 选择 设备 的 标准 也 完全 可 作为 验证 升级 版 本 工 
作 正 常 与 否 的 标准 。 尽 可 能 多 地 集成 在 计划 /设计 阶段 进行 测试 是 非常 好 的 方法 ， 最 初 的 产 
品评 估 测 试 可 以 被 开发 阶段 的 可 接受 性 测试 和 升级 阶段 的 衰减 性 测试 所 借鉴 。 

评估 测试 是 最 常 进行 的 测试 ， 在 设备 选 型 、 技 术 选 型 ， 以 及 网 络 系统 升级 过 程 中 都 要 
进行 或 多 或 少 的 评估 测试 。 

用 于 评估 测试 的 负载 模式 和 测试 脚本 要 能 有 效 窗 盖 被 检测 的 设备 和 技术 。 常 使 用 最 好 
情形 (工程 负载 ) 和 真实 负载 模式 进行 测试 ， 两 种 方式 都 提供 了 唯一 的 、 重 要 的 检测 结果 ， 测 
试 人 员 要 能 够 理解 、 解 释 测 试 结果 间 的 不 同 。 

工程 检测 结果 是 被 测 设备 和 技术 在 最 理想 的 情形 下 测试 得 到 的 结果 ， 因 此 不 能 在 真实 
运行 环境 里 显示 它们 的 运行 性 能 ， 真 实 检测 结果 能 很 好 地 显示 待 测 设备 或 技术 在 运行 网 络 
环境 中 的 性 能 ， 但 无 法 预测 设备 的 总 容量 。 如 果 时 间 人 允许， 两 种 测试 都 要 做 。 通 常 测试 人 
员 只 有 时 间 进 行 一 种 测试 ， 一 般 进行 最 好 情形 的 测试 。 许 多 公开 发 行 的 测试 报告 都 是 基于 
最 好 情形 (工程 负载 ) 下 的 测试 结果 。 

所 有 的 测试 配置 都 是 模拟 的 。 用 于 设备 比较 的 测试 配置 不 一 定 要 代表 运行 网 络 的 典型 
配置 ， 任 何 有 效 、 公 正 的 测试 配置 都 能 对 被 测 产品 进行 很 好 的 比较 。 然 而 ， 测 试 配置 和 负 
载 越 接近 运行 网 络 的 配置 和 负载 ， 测 试 的 结果 越 能 反映 被 测 设备 在 运行 网 络 中 的 运行 情况 。 

在 安装 和 配置 测试 网 络 时 必须 注意 : 要 确保 配置 中 所 有 测试 组 件 都 是 最 新 版 本 ， 使 测 
试 尽 可 能 地 公正 和 统一 ， 以 取得 最 好 的 测试 结果 。 在 测试 非 正式 版 时 一 定 要 小 心 ， 因 为 发 
布 日 期 经 常 有 错误 。 测 试 配置 中 安装 了 非 正式 版 后 ， 它 还 可 能 会 变 ， 所 以 非 正 式 版 的 测试 
结果 和 正式 版 的 测试 结果 经 常 不 一 致 ， 分 析 非 正式 版 的 设备 经 常会 延误 项 目的 进行 。 

进行 评估 测试 时 ， 除 了 被 测 设备 ， 测 试 配置 中 的 所 有 网 络 组 件 都 要 保持 不 变 。 这 一 点 
非常 重要 ， 只 有 这 样 才能 保证 被 测 设备 可 以 进行 公平 比较 。 对 于 子 网 ， 这 一 点 很 容易 做 到 
(一 个 网 络 设备 很 容易 被 另 一 个 设备 所 替代 )。 

网 络 技术 评估 要 比较 各 种 网 络 技术 ， 因 而 测试 配置 中 的 几 个 网 络 组 件 都 需要 更 换 。 重 
要 的 是 不 要 改变 源 或 目标 配置 。 在 配置 中 不 仅 通信 线路 需要 更 换 ， 路 由 器 也 需要 更 换 。 传 
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输 负载 和 端点 的 配置 要 保持 不 变 。 

需要 评估 测试 计划 中 的 各 个 测试 任务 ， 逐 步 完 成 测试 、 数 据 收集 和 数据 解释 。 在 评估 
测试 中 ， 各 测试 进行 的 先后 次 序 没有 关系 ， 因 为 它们 不 是 线性 关系 ， 而 是 多 次 重复 进行 的 。 
当 在 测试 中 发 现 了 新 的 信息 时 ， 以 前 所 做 的 测试 可 能 要 重新 进行 以 确定 它 的 测试 结果 ， 或 
要 对 以 前 的 测试 稍 作 改变 以 检验 网 络 运行 的 其 他 方面 。 此 外 ， 在 评估 期 间 设 备 提供 商 经 党 
发 布 新 的 版 本 或 非 正式 的 版 本 ， 所 以 各 种 基于 这 种 设备 的 测试 都 要 重新 进行 。 

制定 网 络 设备 、 技 术 比较 或 取舍 标准 时 ， 不 仅 要 参考 评估 测试 所 得 的 测试 结果 数据 ， 
还 要 综合 考虑 其 他 一 些 信息 ， 如 各 设备 的 性 能 价格 比 ， 但 由 于 没有 运行 网 络 的 持续 和 峰值 
负载 要 求 ， 所 以 缺少 比较 基准 ， 往 往 将 产品 评估 测试 引入 歧途 。 

最 后 要 根据 评估 测试 所 得 的 数据 和 图 表 对 网 络 系统 作出 总 结 性 评估 ， 并 撰写 网 络 系统 
评估 报告 。 

1.3.1.4 ”转换 到 新 网 络 的 工作 计划 

转换 到 新 网 络 是 一 件 复杂 的 过 程 ， 需 要 仔细 筹划 ， 推 荐 按 以 下 步骤 进行 。 

1. 评估 


在 转移 到 新 网 络 以 前 ， 首 先 对 系统 进行 测试 ， 即 将 本 单位 的 主要 软件 迁移 至 新 网 络 上 
进行 运行 测试 ， 查 看 测试 结果 ， 并 记录 下 系统 是 否 符合 建议 书 中 的 要 求 。 要 特别 注意 新 用 
户 的 登录 界面 、 重 要 应 用 软件 的 运行 方式 、 系 统 的 响应 时 间 、 升 级 带 来 的 新 特征 。 这 种 方 
案 确保 测试 是 对 软件 的 全 面 测试 。 

2. 培训 

如 果 由 上 一 阶段 的 结果 确定 新 网 络 是 可 行 的 ， 那 么 可 以 全 面 投入 使 用 。 接 下 来 就 是 制 
订 培训 计划 ， 培 训 在 新 网 络 环境 中 的 用 户 和 管理 员 。 

3. 预 实施 


预 实施 作为 实施 迁移 的 第 一 步 ， 应 该 细 化 迁移 计划 书 中 的 时 间 表 和 计划 表 ， 使 它 成 为 
实施 迁移 的 详细 的 工程 计划 。 在 计划 书 中 ， 确 定 需 要 迁移 的 用 户 标识 名 。 查 看 已 存在 的 服 
务 器 ， 决 定 哪些 设备 、 文 件 、 目 录 应 该 被 移植 ， 哪 些 应 被 压缩 。 在 迁移 到 新 网 络 之 前 ， 需 
要 提前 通知 所 有 用 户 做 好 准备 。 

4. 迁移 


选择 一 个 适当 的 迁移 时 间 ， 最 好 定 在 单位 事务 不 繁忙 的 时 候 (如 周末 )。 事 先 做 好 系统 软 
件 和 数据 的 备份 ， 然 后 逐步 将 原 有 系统 安装 部 署 到 新 网 络 中 ， 并 做 好 相关 设备 的 配置 。 要 
一 边 安装 一 边 测试 ， 注 意 不 但 要 用 管理 员 身 份 测试 ， 还 要 用 普通 用 户 身 份 测 试 ， 以 确保 迁 
移 后 的 系统 与 原 有 系统 一 致 。 

5. 迁移 之 后 
当 网 络 迁 移 工 作 完 成 之 后 ， 要 开放 网 络 的 登录 ， 通 知 用 户 新 网 络 开通 。 要 仔细 回顾 升 
级 过 程 ， 以 便 总 结 教训 ， 更 有 效 地 升级 其 他 服务 器 ， 减 少 遇 到 的 麻烦 。 要 努力 理解 由 升级 
产生 的 各 种 支持 要 求 。 应 继续 测试 新 的 系统 ， 在 必要 的 时 候 优化 系统 ， 争 取 在 对 用 户 造成 
问题 之 前 就 排除 它们 。 
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若 发 现 某 部 分 迁移 后 影响 了 原 有 功能 ， 在 无 法 迅速 解决 问题 之 前 ， 可 以 暂时 撤销 迁移 
而 继续 采用 原 有 系统 。 


1.3.2 


典型 例题 分 析 


下 面 哪 一 种 办 法 可 以 消除 以 太 网 阻塞 ? 

(1) 启用 全 双 工 以 太 网 。 

(2) 在 以 太 网 络 中 冲突 难以 彻底 避免 。 

(3) 启用 半 双 工 以 太 网 。 

(4) 将 共享 Hub 全 部 蔡 换 成 以 太 网 交换 机 。 

(5) 创建 VLAN。 

答案 : 启用 全 双 工 以 太 网 。 

解析 : 消除 阻塞 的 唯一 办 法 是 使 用 全 双 工 以 太 网 。 全 双 工 的 以 太 网 允许 一 个 工作 站 同 
时 发 送 和 接收 数据 。 以 太 网 的 交换 机 减少 了 阻塞 的 可 能 性 ， 但 是 ， 如 果 一 个 设备 处 于 半 双 
工 状态 ， 它 就 有 可 能 存在 同时 接收 和 发 送 的 情况 ， 这 就 可 能 造成 阻塞 。 


1.3.3 同步 练习 


L; 
到 


第 三 层 交 换 机 的 哪些 功能 可 用 在 接 入 层 ? 
指出 下 列 各 模块 中 会 出 现 哪些 设备 (注意 : 一 些 设备 可 能 出 现在 多 个 模块 中 )。 


模块 : 电子 商务 模块 、 因 特 网 连接 模块 、 远 程 接 入 与 VPN 模块 。 
设备 : Web 服务 器 、SMTP 邮件 服务 器 、 防 火 墙 、 网 络 入 侵 检测 系统 (NIDS) 工 具 、DNS 
服务 器 、VPN 集中 器 、 公 共 FTP 服务 器 。 


1.3.4 同步 练习 参考 答案 


ls 


答案 : 


可 用 在 接 入 层 的 第 三 层 交换 机 的 功能 如 下 。 


2 


因 


电 


广播 域 (包括 VLAN) 之 间 的 路 由 选择 。 
使 用 不 同 的 广域网 技术 访问 远程 办 公 室 。 
路 由 传播 。 
分 组 过 滤 。 
验证 与 安全 性 。 
服务 质量 (QoS)。 
按 需 路 由 选择 IDDK) 和 静态 路 由 选择 。 
答案 : 
子 商 务 模块 ，Web 服务 器 、 防 火 墙 、 网 络 入 侵 检测 系统 (NIDS) 工 具 。 
特 网 连接 模块 : SMTP 邮件 服务 器 、 防 火 墙 、 公 共 FTP 服务 器 、DNS 服务 器 。 


远程 接 入 与 VPN 模块 ，VPN 集中 器 、 网 络 入 侵 检 测 系统 (NIDS) 工 具 、 防 火 墙 。 
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1.4 网 络 系统 的 运行 和 维护 


1.4.1 考点 辅导 


1.4.1.1 用 户 措施 
1. 用 户 管理 


用 户 (UsenD) 是 网 络 系统 的 主要 使 用 者 ， 使 用 网 络 的 单位 和 个 人 都 属于 用 户 范 畴 。 用 户 的 
身份 决定 其 在 网 络 系统 中 的 权限 ， 不 同 身 份 的 用 户 在 网 络 系统 中 担任 着 不 同 的 角色 (Role)。 

在 网 络 中 必须 有 严格 的 用 户 管理 措施 ， 以 保证 网 络 的 正常 使 用 和 运转 。 系 统管 理 员 是 
网 络 系统 的 维护 人 员 ， 他 的 重要 任务 之 一 就 是 管理 用 户 ， 他 本 人 也 是 用 户 ， 但 拥有 比 其 他 
用 户 更 高 的 权限 。 

用 户 在 使 用 网 络 系统 之 前 需要 注册 ， 即 将 用 户 信息 提交 给 网 络 管理 员 审阅 ， 通 过 后 即 
可 开通 服务 。 用 户 在 使 用 网 络 资源 的 过 程 中 必须 接受 管理 员 的 管理 和 网 络 管理 程序 的 控制 ， 
用 户 的 行为 必须 遵守 既定 网 络 管理 规则 。 

网 络 用 户 管理 包括 以 下 内 容 。 

(1) 局 域 网 用 户 管理 ， 局 域 网 用 户 的 创建 、 注 销 和 访问 权限 管理 ， 主 域 用 户 资料 数据 
库 的 维护 和 管理 。 

(2) 电子 邮件 用 户 管理 ， 电子 邮件 用 户 开户 审核 ， 用 户 创 建 、 注 销 和 权限 管理 ， 电 子 
邮件 用 户 数 据 库 的 维护 。 

(3) 用 户 入 网 设备 P 地 址 管理 : 局 域 网 用 户 的 IP 网 络 地 址 分 配 和 技术 支持 ， 用 户 人 Pp 
地 址 分 配 数据 库 的 维护 。 

(4) 用 户 Intemet 访问 管理 : Internet 访问 权限 管理 、 传 输 内 容 监 控 和 费用 分 配 控制 管 
理 ， 用 户 流量 数据 库 管理 和 维护 。 

在 局 域 网 环境 中 存在 多 种 网 络 应 用 和 管理 系统 ， 每 个 系统 都 含有 一 套 独立 的 用 户 身份 
认证 管理 系统 。 为 了 有 效 地 管理 用 户 信息 并 利用 这 些 信息 提高 网 络 管理 效率 ， 需 要 建立 统 
一 的 身份 认证 系统 ， 目 前 用 户 信 息 管理 系统 大 都 建立 在 轻 量 目录 访问 协议 (Lightweight 
Directory Access Protocol，LDAP) 的 基础 之 上 。 

2. 用 户 培训 

用 户 培 训 是 保证 系统 正常 运行 的 重要 因素 ， 需 要 针对 不 同 层次 的 用 户 进行 不 同 内 容 的 
培训 。 用 户 培训 需要 经 过 以 下 几 个 过 程 。 

(1) 培训 需求 。 调 查 哪些 用 户 需要 培训 。 

(2) 需求 分 析 。 进 一 步 分 析 用 户 的 培训 需要 ， 总 体 设计 培训 流程 。 

(3) 课程 定制 。 针 对 不 同 的 用 户 制订 不 同 的 课程 计划 和 授课 内 容 、 预 期 目标 等 。 

(4) 确定 师资 。 选 择 有 经 验 的 教师 教授 课程 ， 教 师 必 须 熟悉 课程 及 相关 内 容 。 

(5) 培训 实施 。 确 定 培训 时 间 段 和 授课 计划 。 

(6) 信息 反馈 。 及 时 对 培训 效果 进行 调查 ， 以 便 调 整 后 期 培训 方案 。 
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用 户 培训 是 一 个 不 断 完善 的 过 程 ， 每 一 期 的 培训 经 验 都 应 带 入 到 下 一 次 培训 中 。 随 着 
网 络 系统 的 升级 和 大 量 网 络 新 技术 的 使 用 ， 用 户 培训 需要 经 常 开 展 ， 以 便 用 户 能 够 更 好 地 
了 解 和 使 用 网 络 服务 ， 最 大 限度 地 发 挥 网 络 效益 。 

3. 用 户 协商 


用 户 的 要 求 永远 都 是 网 络 存在 的 依据 ， 所 以 网 络 系统 提供 的 服务 必须 随时 能 够 满足 用 
户 的 需要 ， 应 该 认真 听取 用 户 对 于 网 络 系统 的 服务 质量 的 意见 并 尽量 改进 。 应 该 定期 征求 
用 户 的 意见 和 要 求 ， 可 以 通过 问卷 或 召开 会 议 的 方式 ， 征 求 他 们 对 于 系统 运行 状况 及 可 能 
的 发 展 方向 的 意见 ， 作 为 日 后 维护 和 升级 的 参考 依据 。 

1.4.1.2 制订 维护 和 升级 的 策略 和 计划 

网 络 维护 是 保障 网 络 正 常 运行 的 重要 方面 ， 主 要 包括 设备 保养 与 维护 、 故 障 检 测 与 排 
除 、 网 络 日 常 检查 、 网 络 性 能 监控 及 网 络 升级 等 。 此 处 只 介绍 网 络 升级 的 知识 ， 其 他 部 分 
将 在 第 5 章 详 细 介绍 。 

1. 确定 策略 

当 网 络 出 现 性 能 下 降 、 技 术 老化 、 用 户 业 务 规模 扩展 时 ， 就 意味 着 原 有 网 络 不 能 再 满 
足 用 户 的 需要 ， 此 时 必须 进行 网 络 升级 。 升 级 前 需要 确定 升级 的 策略 。 

升级 的 步 又 如 下 。 

(1) 评估 并 确定 需求 。 了 解 网 络 环境 的 运行 现状 ， 分 析 升级 的 原因 。 

(2) 制定 目标 。 确 定 升 级 要 实现 的 目标 。 

(3) 制定 预算 。 根 据 升 级 的 目标 确定 升级 需要 更 换 的 部 件 ， 根 据 市 场 价格 制定 预算 。 

(4) 制订 规划 。 详 细 描 述 升 级 计划 并 形成 文档 。 

(5) 测试 规划 。 对 升级 计划 的 可 行 性 进行 测试 ， 在 必要 时 调整 升级 计划 。 

(6) 用 户 培训 。 对 升级 涉及 的 用 户 进行 培训 ， 让 他 们 熟悉 新 系统 。 

(7) 备份 与 恢复 。 在 升级 前 对 系统 文件 和 数据 进行 备份 ， 以 便 在 升级 失败 时 恢复 系统 。 

(8) 实施 升级 。 按 照 升级 计划 的 内 容 严格 执行 升级 。 

(9) 检查 实施 情况 。 评 估 升 级 是 否 达到 既定 目标 。 

2. 设备 的 编 址 

在 升级 的 过 程 中 需要 对 使 用 的 设备 (如 服务 器 、 工 作 站 、 路 由 器 等 ) 进 行 编 址 ， 即 给 每 个 
设备 分 配 一 个 他 地 址 ， 并 详细 记录 每 个 卫 地 址 所 对 应 的 部 门 、 位 置 、 机 器 编号 和 MAC 地 
址 等 ， 存 入 瑟 地 址 管理 数据 库 ， 并 规定 用 户 不 得 任意 更 改 以 避免 他 地 址 冲突 。 设 备 的 编 址 
也 应 遵循 一 定 规则 ， 如 可 以 按照 部 门 、 位 置 或 机 器 的 型 号 等 进行 编 址 ， 具 体 应 由 网 络 管理 
员 根据 实际 情况 确定 。 另 外 ， 每 个 部 门 的 卫 地址 应 留 有 一 定 的 空余 ， 以 备 今后 添加 设备 
之 用 。 

3. 审查 的 时 间 

升级 规划 的 审查 时 间 应 在 升级 实施 之 前 ， 审 查 一 般 需 要 搭建 实验 环境 进行 升级 规划 的 
测试 ， 测 试 对 象 包括 规划 中 用 到 的 设备 、 协 议和 软件 等 ， 评 估 升 级 后 的 网 络 对 原 有 网 络 性 
能 的 影响 。 获 得 的 测试 结果 可 以 帮助 修正 升级 规划 ， 以 便 对 其 中 不 合理 的 部 分 进行 调整 ， 
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从 而 保证 升级 后 的 网 络 系统 能 够 正常 运行 。 
4. 升级 的 时 间 
升级 的 实施 应 在 通过 审查 后 进行 ， 在 升级 前 ， 应 当 预 先 对 系统 进行 备份 ， 以 便 在 升级 
失败 后 能 够 恢复 系统 。 升 级 应 该 按照 计划 严格 执行 ， 每 完成 一 个 阶段 ， 就 应 该 检查 升级 的 
结果 并 记录 。 
升级 中 常用 到 如 下 设备 、 工 具 和 软件 。 
4 工作 站 和 服务 器 。 
网 络 适 配 卡 。 
集线器 、 路 由 器 和 交换 机 。 
测试 设备 。 
工作 组 和 终端 用 户 软件 应 用 程序 。 
数据 交互 方法 。 
管理 和 控制 应 用 程序 (如 SNMP、DHCP、DNS 和 NIS 等 )。 
1.4.1.3 ”系统 维护 的 高 可 靠 性 技术 
1. 备件 


在 建设 一 个 网 络 的 同时 ， 必 须 配备 相应 的 备件 。 备 件 方式 和 备件 策略 的 好 坏 直 接 影响 
着 最 终 备 件 失效 后 的 维修 时 间 。 备 件 离 故 障 点 越 近 ， 故 障 的 维修 时 间 就 越 短 ， 网 络 的 可 用 
性 就 越 高 。 但 是 如 果 备 件 的 库存 太 多 又 会 增加 库存 的 成 本 ， 因 此 需 根据 实际 情况 确定 备件 
的 更 换 率 、 周 转 时 间 、 备 件 成 本 等 因素 ， 以 便 综合 分 析 、 确 定 备件 策略 。 


ee 多 


2. 维护 操作 

维护 操作 失当 是 人 为 造成 设备 失效 的 主要 原因 ， 包 括 因 操作 流程 的 不 规范 和 维护 人 员 
维护 的 不 及 时 等 。 

3. 服务 水 平 


服务 水 平 是 体现 设备 商 综合 能 力 的 重要 因素 ， 它 直接 影响 着 一 个 网 络 的 可 靠 运 营 。 对 
设备 的 定期 巡 检 、 对 用 户 需 求 的 快速 响应 、 对 设备 问题 的 快速 定位 和 及 时 处 理 、 对 客户 的 
定期 培训 和 交流 等 都 会 间接 提高 网 络 的 可 用 性 。 

4. 改进 措施 


针对 备件 、 维 护 、 服 务 等 方面 的 常见 改进 措施 如 下 。 

(1) 优化 维护 体制 ， 建 立 快速 响应 的 维护 队伍 ， 减 少 业务 中 断 时 间 。 这 包括 对 设备 的 
维修 和 对 传输 介质 的 维修 。 

(2) 通过 提高 维护 队伍 的 分 布 、 技 术 水 平 ， 增 加 对 维护 人 员 的 技术 、 流 程 培训 ， 从 而 
减少 操作 事故 ， 减 少 故障 定位 时 间 。 

(3) 制定 完善 的 备件 策略 ， 减 少 备件 的 响应 时 间 。 

(4) 采购 设备 时 应 考虑 设备 制造 商 提供 的 服务 水 平 。 

(5) 增加 计划 性 的 维护 ， 以 减少 潜在 故障 的 发 生 。 
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1.4.1.4 维护 和 升级 的 实施 

1. 外 部 合同 要 点 

网 络 维护 和 升级 工作 可 由 专门 的 网 络 维护 服务 公司 来 承担 ， 它 们 的 工作 任务 涵盖 许多 
方面 ， 除 了 制定 相应 的 管理 制度 、 提 高 计算 机 使 用 人 员 的 素质 外 ， 还 包括 下 面 一 些 具体 的 
工作 。 

1) ”建立 技术 档案 

建立 技术 档案 并 为 客户 提供 一 份 详细 清单 ， 包 括 应 用 软件 的 种 类 、 名 称 、 用 途 、 版 本 
号 、 开 发 商 、 参 数 设置 等 ， 以 及 网 络 的 种 类 、 拓 扑 结构 、 网 络 参数 等 。 这 些 资料 在 维护 工 
作 中 将 起 着 重要 作用 。 

2) ”指导 和 培训 

计算 机 软件 使 用 指导 和 培训 是 指 协 助 用 户 进行 应 用 软件 的 安装 、 调 试 ， 并 协助 解决 使 
用 中 遇 到 的 问题 。 指 导 用 户 更 好 地 使 用 各 类 应 用 软件 ， 可 以 避免 因 使 用 不 当 而 导致 的 问题 。 

3) 日 常 维护 

日 常 维护 是 指定 期 上 门 为 客户 进行 整个 计算 机 网 络 的 维护 ， 现 场 监测 系统 的 稳定 性 及 
运作 状况 ， 以 保证 整个 系统 的 正常 运行 。 

4) ”紧急 现场 维护 

紧急 现场 维护 是 指 在 用 户 遇 到 问题 时 及 时 上 门 排除 故障 。 

5) ”重大 时 刻 现场 待命 

重大 时 刻 现场 待命 是 指 客户 网 络 需要 作 重大 调整 或 升级 时 ， 应 该 全 程 在 场 ， 随 时 待命 ， 
配合 客户 和 供应 商 解 决 任何 可 能 出 现 的 问题 。 

2. 内 部 执行 要 点 

网 络 管理 人 员 需 要 完成 的 网 络 维护 的 工作 内 容 如 下 。 

1) “病毒 防治 

病毒 对 网 络 系统 危害 很 大 ， 必 须 定期 查 杀 ， 以 免 传 播 造成 损失 。 

2) 数据 备份 

数据 备份 是 对 网 络 操作 系统 、 软 件 和 数据 的 备份 ， 它 的 目的 是 在 发 生 故 障 时 恢复 系统 。 

3) ”数据 整理 

定期 整理 计算 机 数据 ， 清 除 无 用 的 数据 ， 修 复 错误 的 数据 ， 维 护 系统 的 稳定 性 。 

4) ”故障 排除 

发 生 故障 时 应 及 时 发 现 并 排除 故障 ， 以 免 造 成 更 大 的 损失 。 

5) “硬件 维护 

保持 硬件 清洁 ， 有 效 保护 硬盘 、 交 换 机 等 易 损 硬 件 ， 延 长 设备 寿命 。 硬 件 出 现 故障 时 
应 及 时 维修 。 

6) ”指导 培训 

指导 网 络 用 户 熟悉 重要 的 操作 规程 ， 提 高 他 们 的 操作 能 力 。 


1.4.1.5 “系统 容错 技术 
目前 ， 计 算 机 网 络 覆 盖 范 围 不 断 扩大 ， 面 临 的 新 业务 和 用 户 也 迅速 增加 。 在 网 络 运行 
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过 程 中 ， 随 时 都 可 能 出 现 各 种 意 想不到 的 问题 ， 其 中 的 很 多 问题 可 能 会 造成 网 络 故障 甚至 
导致 网 络 瘫痪 ， 如 不 及 时 采取 措施 ， 将 会 给 用 户 带 来 无 法 挽回 的 损失 。 因 此 ， 必 须 采 用 系 
统 容错 技术 来 解决 。 容错 是 指 网 络 系统 在 出 现 错误 (如 硬件 故障 或 用 户 误 操作 ) 的 情况 下 仍 能 
正常 运转 。 

系统 容错 技术 既 可 以 用 硬件 来 实现 ， 也 可 以 用 软件 来 实现 ， 还 可 以 采取 软 硬 件 结合 前 
系统 容错 方案 来 保证 系统 的 可 靠 性 。 

常见 的 系统 容错 方案 有 NEC 公司 的 容错 服务 器 方案 、NCR 公司 的 Lifekeeper for NT、 
DIGITAL 公司 的 NT Cluster 和 Fulltime 公司 的 Octopus 等 。 下 面 简 要 介绍 几 种 具有 代表 性 
的 系统 容错 技术 。 

1. NEC 的 容错 服务 器 方案 

顺应 IA( 采 用 英特尔 处 理 器 的 服务 器 ) 架 构 市 场 占有 率 的 激增 , 以 及 Windows 2000 Server 
及 Linux 在 服务 器 领域 的 迅猛 发 展 潮流 ,NEC 公司 通过 与 美国 Stratus 容错 公司 多 年 合作 后 ， 
于 2001 年 推出 了 业界 第 一 台 基于 IA 架构 、 支 持 Microsoft Windows 2000 Server 标准 操作 系 
统 环 境 的 容错 服务 器 。 它 代表 了 Microsoft Windows 平台 上 世界 最 高 水 平 的 系统 可 用 性 。 
该 系列 容错 服务 器 采用 Intel 处 理 器 及 其 他 标准 服务 器 部 件 , 由 于 容错 服务 器 的 体系 结构 属 
于 部 件 级 匈 余 设计 的 体系 结构 ， 其 结构 的 可 靠 度 指标 要 比 双 机 集群 (Cluster) 系 统 高 得 多 ， 可 
以 较 低 成 本 实现 小 型 机 的 可 靠 性 。 

NEC 公司 的 Express 5800/ 人 系列 在 Windows 及 Linux 平台 上 的 可 靠 性 达到 了 99.999%， 
代表 了 同等 环境 下 全 球 最 高 的 系统 可 用 性 。 这 种 实时 保护 技术 的 来 源 是 Stratus 连续 处 理 技 
术 (Continuous Processing Design)， 它 包括 步 锁 (Lockstep) 技 术 、 安 全 故障 (Failsafe) 软 件 和 
激活 服务 (Active Service) 结 构 3 个 基础 。 

2. NCR 公司 的 Lifekeeper forNT 


NCR 公司 是 一 家 有 着 悠久 历史 的 世界 知名 计算 机 厂商 ， 在 包括 高 可 用 性 平台 产品 、 电 
子 商 业 、NT 企业 服务 器 容错 等 七 大 尖端 技术 领域 的 全 球 市 场 占有 率 居 第 一 。Lifekeeper for 
NT 软件 是 NCR 公司 推出 的 全 球 第 一 套 基于 NT 操作 系统 的 集群 容错 软件 。Lifekeeper 系列 
产品 在 我 国 金融 、 邮 电 、 民 航 、 证 券 等 领域 已 得 到 广泛 的 应 用 ， 有 力 地 促进 了 市 场 经 济 的 
发 展 。 

Lifekeeper 是 一 套 完 善 的 实时 容错 软件 ， 对 硬件 、 操 作 系统 、 应 用 软件 、 业 务 数据 均 具 
备 强大 的 容错 性 能 。 有 些 公司 也 推出 了 自己 的 数据 热 备 份 软件 ， 但 这 些 软件 只 是 做 到 了 数 
据 级 备份 ， 而 对 应 用 软件 (如 SQL Server、Sybase 等 )、 系 统 软件 (如 Windows NT)、 系 统 硬 
件 (如 硬盘 、 内 存 、 网 卡 ) 的 容错 却 无 能 为 力 。 一 旦 主 服务 器 出 现 故障 ， 正 常 业务 将 被 迫 终止 
且 不 能 在 短 时 间 内 恢复 。 

Lifekeeper 正 是 为 满足 这 一 社会 需求 而 适时 推出 的 容错 软件 ， 为 关键 业务 的 运行 提供 了 
保障 。 它 是 一 个 设计 良好 的 集群 容错 软件 ， 主 要 表现 在 以 下 几 个 方面 。 

4 ”能 在 主 服 务 器 发 生 技术 故障 时 全 自动 地 实现 用 户 端 应 用 系统 以 及 服务 器 系统 的 热 

切换 ， 真 正 实现 用 户 端的 应 用 连续 性 。 

4 ”对 备份 服务 器 的 硬件 配置 无 任何 特殊 要 求 ， 用 户 可 充分 利用 其 原 有 的 设备 ， 从 而 

大 大 节省 投资 。 
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9” 既 可 支持 共享 磁盘 阵列 方式 ， 又 能 支持 纯 软 件 容错 的 扩展 方式 ， 性 能 稳定 可 靠 ， 
能 够 给 予 客户 在 投入 、 连 接 结构 等 方面 充分 的 选择 余地 。 

4 能够 做 到 同时 支持 SQL Server、Sybase、Informix、Oracle、Notes、Exchange、SAP 
等 多 种 应 用 平台 的 灾难 恢复 。 

4 对 NT、SQL 等 数据 库 平台 、 硬 件 、 应 用 软件 的 任何 故障 都 能 分 别 实 现实 时 侦 测 ， 

具备 周全 的 容错 切换 机 制 。 

系统 容错 技术 的 应 用 已 经 开始 从 过 去 的 银行 业 、 证 券 业 、 电 信 业 等 领域 进入 基础 行业 ， 
如 制造 、 能 源 、 物 流 、 交 通 ， 以 及 有 着 7x24 小 时 不 间断 运营 需求 的 中 小 商业 团体 和 政府 。 
系统 容错 技术 的 未 来 将 会 向 着 更 高 的 可 用 性 、 更 卓越 的 可 维护 性 方面 发 展 。 

1.4.1.6 存储 、 备 份 与 数据 恢复 

1. 网 络 数据 存储 

数据 存储 备份 技术 和 存储 管理 技术 源 于 20 世纪 70 年 代 的 终端 /主机 计算 模式 ， 由 于 数 
据 主要 集中 在 主机 上 ， 因 此 ， 管 理 方便 的 海量 存储 设备 一 磁带 库 是 当时 必 备 的 存储 设备 。 
20 世纪 80 年 代 以 后 ， 由 于 PC 技术 的 发 展 ， 尤其 是 20 世纪 90 年 代 客 户 机 /服务 器 模式 的 普 
及 ， 数 据 的 分 布 式 存储 加 剧 了 数据 存储 管理 的 复杂 化 。 

Internet 使 存储 技术 发 生 了 革命 性 的 变化 。 这 种 变化 主要 表现 在 三 个 方面 : 首先 是 存储 
容量 的 急剧 膨胀 ; 其 次 是 数据 就 绪 时 间 的 延长 (网 络 数据 必须 保证 全 天 候 处 于 就 绪 状态 ); 最 
后 是 数据 存储 结构 发 生 了 巨大 变化 。 在 Internet 和 全 球 化 电子 商务 的 时 代 ， 数 据 应 该 是 面向 
全 世界 的 ， 数 据 的 存 取 只 应 受到 安全 机 制 的 限制 ， 而 不 应 受到 地 域 空间 的 约束 。 

网 络 环境 中 破坏 数据 的 因素 主要 有 以 下 几 个 方面 。 

4 自然 灾害 (如 水 灾 、 火 灾 、 雷 击 、 地 震 等 ) 造 成 计算 机 系统 的 破坏 ， 导 致 存储 数据 被 
破坏 或 完全 丢失 。 
系统 管理 员 及 维护 人 员 的 误 操作 。 
计算 机 设备 故障 ， 其 中 包括 存储 介质 的 老化 、 失 效 。 
病毒 感染 造成 的 数据 破坏 。 

4 pr er eM 

计算 机 系统 不 是 永远 可 靠 的 ， 双 机 热 备 份 、 磁 盘 阵列 、 镜像 、 数 据 库 软件 的 自动 
ee pt ea 
网 络 系统 的 可 靠 性 问题 需要 完整 的 数据 存储 管理 系统 来 解决 。 所 以 说 ， 网 络 设计 方案 中 如 
果 没 有 相应 的 数据 存储 备份 解决 方案 ， 就 不 算是 完整 的 网 络 系统 方案 。 

目前 市 场 上 的 存储 产品 主要 有 磁盘 阵列 、 磁 带 库 与 磁带 机 、 光 盘 库 等 ， 其 中 磁带 设备 
以 其 技术 成 熟 、 价 格 低廉 、 产 品 齐全 、 使 用 方便 等 优点 占据 了 存储 市 场 的 重要 地 位 。 

1) 磁盘 阵列 

磁盘 阵列 又 称 为 廉价 磁盘 元 余 阵 列 Redundant Array of Inexpensive Disks，RAID), 是 指 
将 多 个 类 型 、 容 量 、 接 口 一 致 的 专用 硬盘 连 成 一 个 阵列 ， 使 其 能 以 某 种 快速 、 准 确 和 安全 
的 方式 读 写 数据 ， 从 而 提高 数据 的 存 取 速 度 和 安全 性 。 因 此 ， 磁 盘 阵列 读 写 方式 的 基本 要 
求 是 ， 在 尽 可 能 提高 磁盘 数据 读 写 速度 的 前 提 下 ， 必 须 确 保 在 一 张 或 多 张 磁盘 失效 时 ， 阵 
列 能 够 有 效 地 防止 数据 丢失 。 磁 盘 阵 列 的 最 大 特点 是 数据 存 取 速 度 快 ， 并 将 数据 有 选择 性 
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地 分 布 在 多 个 磁盘 上 ， 从 而 提高 系统 的 数据 吞吐 率 。 另 外 ， 磁 盘 阵 列 还 能 够 免除 单 块 硬盘 
故障 所 带 来 的 灾难 后 果 ， 通 过 把 多 个 较 小 容量 的 硬盘 连 在 智能 控制 器 上 ， 可 增加 系统 的 存 
储 容量 。 因 此 ， 磁 盘 阵 列 是 一 种 高 效 、 快 速 、 易 用 的 网 络 存储 备份 设备 。 

2) ”磁带 库 与 磁带 机 

磁带 库 产品 包括 自动 加 载 磁带 机 和 磁带 库 ， 它 们 实际 上 是 将 磁带 和 磁带 机 有 机 结合 
成 的 。 
自动 加 载 磁 带 机 是 一 个 位 于 单机 中 的 磁带 驱动 器 和 自动 磁带 更 换 装 置 ， 它 可 以 从 装 有 
多 盘 磁带 的 磁带 匣 中 拾取 磁带 并 放 入 驱动 器 中 ， 或 执行 相反 的 过 程 。 它 可 以 备份 100~ 
200 GB 或 者 更 多 的 数据 。 自 动 加 载 磁带 机 能 够 支持 例 行 备份 过 程 ， 自 动 为 每 日 的 备份 工作 
装载 新 的 磁带 。 

磁带 库 是 与 自动 加 载 磁带 机 类 似 的 基于 磁带 的 备份 系统 ， 它 能 够 提供 基本 相似 的 自动 
备份 和 数据 恢复 功能 , 但 同时 具有 更 先进 的 技术 特点 。 它 的 存储 容量 可 达到 数 百 帕 字 节 (PB， 
1 PB=2”B=1024” B=1024* GB， 约 等 于 一 千 万 亿 字 节 )， 可 以 实现 连续 备份 、 自 动 搜索 磁带 ， 
也 可 以 在 驱动 管理 软件 控制 下 实现 智能 恢复 、 实 时 监控 和 统计 ， 使 整个 数据 存储 备份 过 程 
无 须 人 工 干涉 。 磁 带 库 不 仅 数据 存储 量 较 大 ， 而 且 在 备份 效率 和 人 工 占用 方面 拥有 无 可 匹 
敌 的 优势 。 在 网 络 系统 中 ,磁带 库 通过 存储 局 域 网 络 (Storage Area Network，SAN) 系 统 可 形 
成 网 络 存储 系统 ， 提 供 远程 数据 访问 、 数 据 存储 备份 ， 或 通过 磁带 镜像 技术 实现 多 磁带 库 
备份 ， 为 企业 存储 提供 有 力 的 保障 。 因 此 ， 磁 带 库 无 疑 是 数据 仓库 、ERP 等 大 型 网 络 应 用 
的 良好 存储 设备 。 

3) “光盘 塔 、 光 盘 库 和 光盘 网 络 镜像 服务 器 

光盘 塔 由 几 台 或 十 几 台 CD-ROM 驱动 器 并 联 构 成 ， 可 通过 软件 来 控制 某 台 光驱 的 读 写 
操作 。 光 盘 塔 可 以 同时 支持 几 十 个 到 几 百 个 用 户 的 访问 信息 。 

光盘 库 实 际 上 是 一 种 可 存放 几 十 张 或 几 百 张 光盘 并 带 有 机 械 臂 和 一 个 光盘 驱动 器 的 光 
盘 柜 。 它 的 库容 量 极 大 ， 机 柜 中 可 放 几 十 片 甚至 上 百 片 光盘 片 ， 这 种 有 巨大 联机 容量 的 设 
备 非常 适用 于 图 书馆 一 类 的 信息 检索 中 心 ， 尤 其 是 交互 式 光 盘 系 统 、 数 字 化 图 书馆 系统 、 
实时 资料 档案 中 心 系统 、 卡 拉 OK 自动 点 播 系 统 等 。 光 盘 库 的 特点 是 : 安装 简单 、 使 用 方 
便 ， 并 支持 几乎 所 有 的 常见 网 络 操作 系统 及 各 种 常用 通信 协议 ， 维 护 、 更 换 与 管理 非常 容 
易 ， 同 时 具有 较 低 的 成 本 和 价格 。 又 因 光 盘 库 普遍 内 置 有 高 性 能 处 理 器 、 高 速 缓存 器 、 快 
速 闪 存 、 动 态 存 取 内 存 、 网 络 控制 器 等 智能 部 件 ， 使 得 其 信息 处 理 能 力 更 强 。 
光盘 网 络 镜像 服务 器 是 继 第 一 代 的 光盘 库 和 第 二 代 的 光盘 塔 之 后 ， 最 新 开发 出 的 一 种 
可 在 网 络 上 实现 光盘 信息 共享 的 网 络 存储 设备 。 光 盘 网 络 镜像 服务 器 不 仅 具有 大 型 光盘 库 
的 超大 存储 容量 ， 而 且 还 具有 与 硬盘 相同 的 访问 速度 ， 其 单位 存储 成 本 (分 摊 到 每 张 光盘 上 
的 设备 成 本 ) 大 大 低 于 光盘 库 和 光盘 塔 。 因 此 光盘 网 络 镜像 服务 器 已 开始 取代 光盘 库 和 光盘 
塔 ， 逐 渐 成 为 光盘 网 络 共享 设备 中 的 主流 产品 。 

在 网 络 海量 存储 备份 系统 中 ， 磁 盘 阵 列 、 磁 带 库 和 光盘 库 等 存储 设备 因 其 信息 存储 特 
点 的 不 同 ， 应 用 环境 也 有 较 大 的 区 别 。 磁 盘 阵列 主要 用 于 网 络 系统 中 海量 数据 的 即时 存 取 ; 
磁带 库 更 多 的 是 用 于 网 络 系统 中 海量 数据 的 定期 备份 ， 而 光盘 库 则 主要 用 于 网 络 系统 中 海 
量 数据 的 访问 。 
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2. 网 络 备份 


网 络 备份 的 最 终 目 的 是 保障 网 络 系统 的 顺利 运行 ， 所 以 一 份 优秀 的 网 络 备份 方案 应 能 
够 备份 系统 的 所 有 数据 ， 在 网 络 出 现 故 障 甚至 损坏 时 ， 能 够 迅速 地 恢复 网 络 系统 和 数据 ， 
将 系统 损失 降 到 最 低 。 

为 了 在 整个 网 络 系统 内 实现 全 自动 的 数据 存储 管理 ， 必 须 安装 网 络 数据 存储 管理 系统 ， 
它 能 将 备份 服务 器 、 备 份 管理 软件 与 智能 存储 设备 等 有 机 地 结合 。 另 外 ， 备 份 系统 必须 适 
应 系统 容量 不 断 增加 的 要 求 ， 并 且 必 须 能 够 支持 多 平台 系统 和 远程 备份 操作 。 

网 络 数据 存储 管理 系统 是 指 在 分 布 式 网 络 环境 下 ， 通 过 专业 的 数据 存储 管理 软件 ， 结 
合 相应 的 硬件 和 存储 设备 ， 来 对 整个 网 络 的 数据 备份 进行 集中 管理 ， 从 而 实现 自动 化 的 备 
份 、 文 件 归档 、 数 据 分 级 存储 以 及 灾难 恢复 等 。 

网 络 数据 存储 管理 系统 的 工作 原理 是 在 网 络 上 选择 一 台 应 用 服务 器 (当然 也 可 以 在 网 络 
中 另 配 一 台 服 务 器 作为 专用 的 备份 服务 器 ) 作 为 网 络 数据 存储 管理 服务 器 ， 安 装 网 络 数据 存 
储 管理 服务 器 端 软件 ， 作 为 整个 网 络 的 备份 服务 器 。 在 备份 服务 器 上 连接 一 台大 容量 存储 
设备 (磁带 机 或 磁带 库 )。 在 网 络 中 其 他 需要 进行 数据 备份 管理 的 服务 器 上 安装 备份 客户 端 软 
件 ， 通 过 局 域 网 将 数据 集中 备份 到 与 备份 服务 器 连接 的 存储 设备 上 。 

网 络 数据 存储 管理 系统 的 核心 是 备份 管理 软件 ， 通 过 备份 软件 的 计划 功能 ， 可 为 整个 
企业 建立 一 个 完善 的 备份 计划 及 策略 ， 并 可 借助 备份 时 的 呼叫 功能 ， 让 所 有 的 服务 器 备份 
都 能 在 同一 时 间 进 行 。 备 份 软件 也 提供 完善 的 灾难 恢复 手段 ， 能 够 将 备份 硬件 的 优良 特性 
完全 发 挥 出 来 ， 使 备份 和 灾难 恢复 时 间 大 大 缩短 ， 实 现 网 络 数据 备份 的 全 自动 智能 化 管理 。 

数据 备份 的 方式 有 多 种 ， 下 面 以 磁带 机 为 例 ， 简 述 全 备份 、 增 量 备份 和 差分 备份 的 区 
别 和 应 用 。 

1) 全 备份 

全 备份 (Full Backup) 就 是 对 整个 系统 进行 完全 备份 ， 包 括 系统 和 数据 。 这 种 备份 方式 的 
最 大 优点 是 操作 比较 简单 ， 当 发 生 数 据 丢 失 时 ， 只 要 用 一 盘 磁带 就 可 以 完全 恢复 系统 和 数 
据 。 然 而 它 也 有 缺点 : 首先 ， 在 备份 数据 中 有 很 多 重复 数据 存在 ， 它 们 占用 大 量 的 磁带 空 
间 ， 增 加 了 应 用 系统 的 运行 成 本 ， 其 次 ， 备 份 数据 量 大 ， 备 份 时 间 长 ， 不 适用 于 那些 业务 
繁忙 ， 备 份 时 间 有 限 的 场合 。 

2) ” 增 量 备份 

增 量 备份 (Incremental Backup) 就 是 每 次 只 对 上 一 次 备份 后 增加 的 和 修改 过 的 数据 进行 
备份 。 这 种 备份 的 优点 很 明显 : 没有 重复 的 备份 数据 ， 既 节省 了 磁带 空间 ， 又 缩短 了 备份 
时 间 。 它 的 缺点 在 于 发 生 灾 难 时 ， 恢 复数 据 比 较 麻烦 ;另外 这 种 备份 的 可 靠 性 也 差 。 在 这 
种 备份 方式 下 ， 各 磁带 间 相 互 关联 ， 其 中 任何 一 盘 磁带 出 了 问题 都 不 能 完全 恢复 系统 。 

3) “差分 备份 

差分 备份 (Differential Backup) 就 是 对 上 一 次 全 备份 之 后 新 增加 的 和 修改 过 的 数据 进行 
备份 。 它 需要 与 全 备份 配合 使 用 。 例 如 ， 管 理 员 先 在 星期 一 进行 一 次 系统 全 备份 ， 然 后 在 
接 下 来 的 几 天 里 ， 再 将 当天 所 有 与 星期 一 不 同 的 数据 (新 的 或 经 改动 的 ) 备 份 到 磁带 上 。 

4) 三 种 备份 方案 的 比较 

由 上 述 介绍 可 以 看 出 ， 全 备份 所 需 时 间 最 长 ， 但 恢复 时 间 最 短 、 操 作 最 方便 ， 当 系统 
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中 数据 量 不 大 时 ， 采 用 全 备份 最 可 靠 。 差 分 备份 在 避免 了 另外 两 种 策略 的 缺陷 的 同时 ， 又 
具有 了 它们 的 所 有 优点 。 首 先 ， 它 无 须 每 天 都 做 系统 完全 备份 ， 因 此 备份 所 需 时 间 短 ， 并 
节省 磁带 空间 ;其 次 ， 它 的 灾难 恢复 也 很 方便 ， 系 统管 理 员 只 需 两 盘 磁带 ， 即 星期 一 的 磁 
带 与 发 生 灾难 前 一 天 的 磁带 ， 就 可 以 将 系统 完全 恢复 。 在 备份 时 要 根据 三 种 方案 各 自 的 特 
点 灵活 使 用 。 

3. 灾难 恢复 

灾难 恢复 的 先决 条 件 是 要 做 好 备份 策略 及 恢复 计划 。 日 常备 份 制度 描述 了 每 天 的 备份 
以 什么 方式 、 使 用 什么 备份 介质 进行 ， 是 系统 备份 方案 的 具体 实施 细则 。 在 制定 完毕 后 ， 
应 严格 按照 制度 进行 日 常备 份 ， 否 则 将 无 法 恢复 系统 。 

灾难 恢复 措施 在 整个 备份 制度 中 占有 相当 重要 的 地 位 ， 因 为 它 关系 到 系统 、 软 件 与 数 
据 在 经 历 灾难 后 能 和 否 迅速 恢复 如 初 。 全 盘 恢 复 一 般 应 用 在 服务 器 发 生意 外 灾难 导致 数据 全 
部 丢失 、 系 统计 溃 或 是 有 计划 的 系统 升级 、 系 统 重组 等 时 ， 因 此 也 称 为 系统 恢复 。 

一 个 完整 的 灾难 备份 及 恢复 方案 包括 备份 硬件 、 备 份 软件 、 备 份 制度 和 灾难 恢复 计划 
四 个 部 分 。 若 想 做 到 数据 万 无 一 失 ， 还 需要 根据 企业 自身 情况 制定 日 常备 份 制度 和 灾难 恢 
复 措施 ， 并 由 管理 人 员 切 实 执行 备份 制度 ， 否 则 数据 安全 将 是 空谈 。 


1.4.1.7 ”网络 系统 的 配置 管理 


配置 管理 的 目的 在 于 维护 及 优化 网 络 ， 其 功能 是 对 网 络 的 组 件 进行 识别 、 定 义 、 控 制 
和 监视 ， 实 现 网 络 的 某 些 特定 功能 并 使 网 络 性 能 达到 最 优 。 网 络 系统 时 刻 处 于 变化 之 中 ， 
网 络 系统 本 身 要 随 着 用 户 的 增 减 、 系 统 应 用 项 目的 变化 及 设备 的 维修 或 更 新 来 及 时 调整 网 
络 的 配置 ， 使 网 络 能 更 有 效 地 工作 。 

网 络 配 置 包 括 配 置 节点 和 集中 器 数量 、 分 布 和 互联 情况 、 线 路 的 数量 和 速率 ， 以 及 设 
备 的 通信 模板 和 端口 个 数 等 。 配 置 管 理 可 以 视 网 络 的 规模 和 能 力 随 需 要 而 改变 ， 一 般 包 括 
以 下 内 容 。 

8 ”网 络 资源 的 自动 发 现 和 图 形 化 表示 ， 以 及 网 络 资源 的 管理 信息 。 
网 络 资源 的 对 象 化 管理 ， 被 管 对 象 和 被 管 对 象 组 的 命名 管理 、 初 始 化 和 关闭 等 。 
软件 及 硬件 资源 与 版 本 数据 的 管理 。 
设备 端口 状态 。 
也 地 址 资源 分 配 与 管理 、 网 络 他 地 址 与 MAC 地 址 对 应 及 他 地 址 冲突 检测 。 
子 网 及 主机 情况 。 
设备 路 由 信息 ， 系 统 中 有 关 路 由 操作 的 参数 配置 。 
系统 配置 信息 ， 更 改 系统 的 配置 。 

8 ”配置 及 资产 统计 报告 。 

下 面 简要 介绍 设备 管理 、 软 件 管理 和 网 络 配置 图 。 

1. 设备 管理 

设备 管理 包括 资产 管理 、 设 备 变 化 的 管理 和 设备 配置 管理 等 。 

1) 资产 管理 

资产 管理 是 指 检验 和 跟踪 网 络 上 的 软 硬 件 。 资 产 管理 的 第 一 步 是 为 网 络 上 的 每 一 个 节 
点 列 出 清单 ， 该 清单 不 仅 应 包括 网 络 上 各 种 设备 的 总 数 ， 还 应 该 包括 每 个 设备 的 配置 文件 、 


ee SS 多 


第 1 章 网 络 系统 规划 和 设计 


型 号 、 序 列 号 、 在 网 络 上 的 位 置 以 及 技术 支持 的 联络 方式 等 。 另 外 ， 还 应 该 保留 公司 所 购 
买 的 软件 的 记录 、 版 本 号 、 供 应 商 、 技 术 支 持 和 联络 方式 等 。 

资产 管理 工具 的 选择 应 依 公司 的 需求 而 定 ， 可 以 购买 专用 的 资产 管理 软件 ， 它 们 通常 
能 够 自动 检测 网 络 上 的 所 有 设备 并 把 相关 信息 保存 到 数据 库 中 ， 也 可 以 使 用 电子 表格 软件 
来 存储 资产 数据 。 另 外 ， 应 该 保证 资产 管理 数据 库 信息 随 着 网 络 软件 和 硬件 的 变化 定期 地 
更 新 (自动 或 手动 )。 

资产 管理 使 网 络 管理 和 升级 更 加 容易 ， 简 化 了 网 络 管理 员 的 工作 。 

2) 设备 变化 的 管理 

作为 系统 管理 员 ， 应 该 时 刻 关 注 在 网 络 正常 运行 或 排 障 过 程 中 的 网 络 系统 的 改变 ， 以 
及 在 管理 和 升级 过 程 中 的 网 络 问题 。 设 备 变化 的 管理 系统 帮助 将 网 络 元 件 的 移 位 或 改变 同 
网 络 的 不 同 表 现 联系 起 来 ， 简 化 了 描绘 基准 线 和 测量 网 络 性 能 的 过 程 。 同 资产 管理 系统 一 
样 ， 变 化 管理 系统 也 应 该 保持 实时 更 新 。 但 与 资产 管理 不 同 的 是 ， 变 化 管理 的 记录 不 能 由 
专用 程序 (能 够 自动 发 现 网 络 硬件 或 软件 的 程序 ) 生 成 ,而 必须 由 网 络 管理 员 提供 变化 发 生 的 
具体 情况 信息 。 

3) ”设备 配置 管理 

配置 管理 为 所 有 基于 命令 的 或 基于 IOS 的 交换 机 和 路 由 器 提供 了 一 种 访问 配置 的 简单 
方法 。 一 旦 设备 处 于 被 管理 状态 ， 其 配置 文件 将 自动 收集 配置 信息 并 存放 在 资源 管理 服务 
器 上 。 通 过 临近 系统 的 日 志 消息 、 检 查 设备 清单 的 变化 、 安 排 轮 询 等 可 以 做 到 自动 更 新 配 
置 文件 。 

配置 管理 的 后 台 进 程 能 够 保证 配置 文件 时 刻 更 新 。 一 旦 配置 文件 生成 后 ， 管 理 员 便 可 
以 对 这 些 文件 执行 多 种 任务 。 常 见 的 任务 如 下 。 

4 运行 变化 报表 : 找到 配置 文件 的 变化 ， 列 出 变化 细节 并 指明 管理 员 的 责任 。 
调试 自动 报表 : 无 须 时 刻 监督 运行 报表 ， 便 可 以 生成 历史 报表 。 
查询 配置 文件 ， 按 照 特 征 串 搜索 配置 文件 或 其 他 文件 。 
比较 配置 文件 ， 找 出 两 个 配置 文件 的 差别 。 
创建 定义 报表 : 基于 配置 文件 中 的 文本 串 生成 报表 。 

很 多 厂商 的 设备 都 提供 了 完备 的 配置 管理 工具 ， 例 如 Cisco 除了 提供 文件 管理 功能 之 
外 ， 它 的 Resource Manager 软件 还 提供 了 NetConfig 工具 。 利 用 这 个 工具 ,管理 员 可 以 对 被 
管理 的 设备 配置 进行 实时 更 改 和 查询 。NetConfig 工具 还 允许 管理 员 创 建 自 定义 的 模板 ， 它 
们 是 一 些 命令 集 ， 用 于 改变 网 络 中 的 一 个 或 多 个 设备 ， 这 些 自 定义 的 管理 命令 可 以 在 路 由 
器 或 交换 机 上 执行 。 

2. 软件 管理 


为 了 保证 系统 中 各 种 软件 能 够 正常 运行 ， 需 要 对 它们 进行 必要 的 管理 。 软 件 管理 除了 
包括 软件 正常 的 维护 外 ， 还 应 包括 软件 系统 的 改变 。 网 络 上 常见 的 软件 改变 如 下 。 

4 ”补丁 : 对 某 一 段 程序 的 提高 或 加 深 。 

”升级 : 对 已 有 代码 的 主要 改变 。 

4 ”修订 : 对 已 有 代码 的 部 分 改变 。 

通常 所 说 的 补丁 是 对 软件 特定 部 分 的 提高 和 加 强 ， 它 区 别 于 软件 的 升级 和 修订 ， 只 改 


S PH PH 多 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


变 软件 程序 的 一 部 分 ， 不 改动 大 部 分 的 代码 。 补 丁 经 常 被 用 于 修复 代码 中 的 错误 (Bug)， 或 
者 稍微 地 增加 软件 的 功能 。 补 丁 不 是 对 整个 软件 包 的 蔡 换 ， 相 反 ， 它 是 安装 在 软件 之 上 的 。 
补丁 也 不 仅仅 限于 网 络 操作 系统 软件 ， 还 可 能 针对 其 他 很 多 软件 。 在 维护 网 络 的 过 程 中 需 
要 管理 网 络 各 个 不 同 部 分 的 补丁 ， 有 时 甚至 需要 补充 服务 器 的 操作 系统 。 

尽管 对 每 种 类 型 的 软件 的 改变 不 同 ， 但 是 通常 的 改变 步骤 可 归纳 如 下 。 

(1) 考虑 改变 (不 论 是 补丁 、 升 级 还 是 修订 ) 是 否 必 要 。 

(2) 研究 改变 的 目的 和 它 对 程序 可 能 产生 的 影响 。 

(3) 考虑 改变 是 适用 于 部 分 用 户 还 是 所 有 用 户 ， 应 该 集中 执行 还 是 逐步 执行 。 

(4) 制定 在 非 工作 时 间 的 改变 进度 (除非 它 是 紧急 的 ) 并 通知 用 户 。 

(5) 备份 当前 的 系统 或 软件 。 

(6) 防止 用 户 登 录 处 于 变动 中 的 系统 或 部 分 系统 (例如 可 以 限制 登录 )。 

(7) 执行 改变 (保证 按照 升级 向 导 进行 并 记录 修改 )。 

(8) 在 改变 之 后 测试 整个 系统 ， 完 整地 测试 软件 并 观察 结果 。 

(9) 如 果 改 变 成 功 ， 则 开放 该 系统 并 通知 用 户 ， 否则 应 恢复 旧版 本 。 

网 络 管理 人 员 应 该 根据 软件 提供 商 的 建议 升级 和 补丁 软件 ， 这 样 可 以 避免 出 现 不 必要 
的 网 络 故障 。 

3. 网 络 配置 图 


网 络 配置 图 是 一 张 网 络 主要 设备 的 部 署 结构 图 ， 它 包括 网 络 系统 中 所 有 的 主要 设备 、 
节点 和 线路 ， 以 及 它们 之 间 的 连接 方式 和 相对 的 位 置 关系 。 从 网 络 配置 图 中 可 以 获取 许多 
关于 网 络 系统 较 重 要 的 信息 ， 如 网 络 的 拓扑 结构 、 设 备 配置 、 传 输 能 力 、 元 余 度 等 。 网 络 
配置 图 既 便于 了 解 网 络 配置 状况 ， 又 有 利于 网 络 管理 人 员 的 日 常 维护 工作 。 图 1-10 所 示 为 
一 张 典 型 的 校园 网 络 配置 图 。 
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在 配置 管理 中 ， 通 常 使 用 网 络 配置 图 将 网 络 的 配置 用 图 形 表示 出 来 ， 包 括 每 个 组 件 的 
名 称 、 人 P 地 址 。 对 每 个 网 段 和 广 域 通信 连接 ， 还 要 标 上 速率 、 使 用 的 协议 和 子 网 地 址 。 
格式 规范 的 配置 文档 都 应 附 有 网 络 配置 图 。 


1.4.2 ”典型 例题 分 析 


例 1 Windows 组 网 中 采用 什么 工具 来 实现 域 的 创建 和 管理 ? 在 什么 情况 下 需要 设置 
“ 主 域 ”? 

答案 : 通过 PDC( 主 域 控 制 器 ) 工 具 来 实现 域 的 创建 和 管理 ， 该 进程 运行 在 Windows NT 
Server 上 。 主 域 被 其 他 域 信任 , 但 主 域 不 信任 其 他 域 。 当 有 些 部 门 要 单独 控制 它们 拥有 的 资 
源 ， 但 又 要 求 保 持 集中 身份 验证 时 ， 需 要 设置 主 域 。 

解析 : PDC( 主 域 控制 器 ) 是 在 Windows NT Server 4.0 域 或 更 早 的 域 中 运行 Windows NT 
Server 并 对 域 登 录 进 行 身份 验证 的 计算 机 ， 该 计算 机 也 用 来 维护 域 的 目录 数据 库 ，PDC 跟 
踪 对 域 中 所 有 计算 机 账户 所 做 的 更 改 。 它 是 直接 接收 这 些 变化 的 唯一 计算 机 ， 每 个 域 只 有 
一 个 PDC。 

例 2 某 公 司 规模 扩大 ， 既 要 考虑 保证 目前 土建 装修 的 效果 不 被 破坏 ， 又 要 满足 网 络 扩 
容 和 企业 工作 的 实际 需求 ， 同 时 还 要 保证 投资 不 要 过 大 。 请 为 该 公司 设计 网 络 升级 方案 。 

答案 : 经 过 深入 分 析 和 研究 对 比 ， 建 议 采 用 无 线 局 域 网 (WLAN) 组 网 方案 来 解决 网 络 
容 的 问题 。 

解析 : 公司 的 规模 扩大 ， 需 要 对 现 有 网 络 进行 改造 升级 ， 但 又 不 能 破坏 当前 的 建筑 布 
局 ， 而 传统 的 网 络 布线 (铺设 光纤 、 双 绞 线 等 ) 都 必须 挖 沟 开 档 ,这 样 势必 破坏 该 公司 土建 装 
修 的 效果 ， 不 满足 要 求 ， 故 必须 考虑 采用 其 他 组 网 技术 。 无 线 局 域 网 (WLAN) 是 最 佳 选择 ， 
因为 它 不 需要 铺设 线 绕 ， 只 需要 安装 有 限 个 接 入 点 (AP) 就 可 支持 一 定 范围 内 的 无 线 接 入 服务 。 

在 一 个 典型 的 WLAN 环境 中 ， 有 一 些 进行 数据 发 送 和 接收 的 设备 ， 称 为 接 入 点 (AP)。 
通常 ， 一 个 AP 能 够 在 30~100 m 的 范围 内 连接 多 个 无 线 用 户 。 在 同时 具有 有 线 和 无 线 网 络 
的 情况 下 ，AP 可 以 通过 标准 的 以 太 网 电缆 与 传统 的 有 线 网 络 相 连 ， 作 为 无 线 网 络 和 有 线 网 
络 的 连接 点 。WLAN 的 终端 用 户 可 通过 无 线 网 卡 访问 网 络 。 

因此 ， 采 用 WLAN 方案 可 以 满足 该 公司 的 要 求 ， 并 将 新 的 WLAN 与 日 有 的 局 域 网 连 
接 起 来 。 另 外 ， 这 种 方案 的 投资 也 较 节省 。 


1.4.3 同步 练习 


. 网 络 升级 的 原则 是 什么 ? 

2. 网 络 升级 的 要 求 有 哪些 ? 

3. 在 Linux 系统 中 怎样 进行 用 户 管理 ? 

4. 网 络 存储 备份 系统 的 设计 目标 是 什么 ? 

5. 什么 是 基准 线 ? 它 在 网 络 的 维护 过 程 中 有 何 作 用 ? 
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1.4.4 同步 练习 参考 答案 


1. 答案 : 

由 于 网 络 升级 工作 涉及 很 多 因素 ， 因 此 在 制订 网 络 升级 计划 时 必须 遵循 一 些 基本 的 原 
则 ， 并 且 要 明确 网 络 升级 的 目的 ， 以 免 产 生 偏 差 。 网 络 升级 的 原则 如 下 。 

。 ”最 大 限度 地 保护 已 有 投资 。 

”采用 成 熟 的 主流 技术 。 

”实用 性 与 先进 性 相 结合 。 

4 ”综合 分 析 、 全 面 考 虑 网 络 升级 内 容 。 

2. 答案 : 

网 络 升级 的 主要 目的 是 提高 网 络 性 能 ， 满 足 网 络 应 用 的 需求 。 一 般 来 说 ， 通 过 网 络 升 
级 ， 就 能 够 使 网 络 性 能 在 各 方面 得 到 改善 。 网 络 的 升级 要 求 如 下 。 

4 ”高 速率 和 稳定 性 。 
提高 网 络 的 可 靠 性 。 
增加 网 络 系统 的 安全 性 。 
增强 系统 的 能 力 。 

易 管理 性 。 

9 ”无 故障 升级 。 

3. 答案 : 

Red Hat Linux 是 一 个 多 用 户 系统 ， 当 一 台 计 算 机 被 多 人 使 用 时 ， 通 常 需要 区 分 用 户 ， 
因此 每 个 用 户 需 要 一 个 单独 的 用 户 名 用 于 登录 。 另 外 ， 单 个 用 户 也 可 以 作为 用 户 组 的 成 员 。 
在 Linux 中 ,用户 管 理 的 方法 有 多 种 ， 包 括 行 命令 方式 、 手 工 方式 和 图 形 界面 方式 等 ， 每 种 
方法 各 有 其 优 缺 点 。 

1) ”系统 管理 员 

系统 管理 员 是 特殊 的 用 户 ， 通 常 一 般 用 户 只 运行 个 人 的 应 用 程序 ， 属 于 系统 支持 方面 
的 工作 ， 则 由 系统 管理 员 来 负责 。 系 统管 理 员 有 一 个 专用 账户 即 root， 登 录 时 输入 : 

$ login root 
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# 


以 root 为 用 户 名 并 输入 管理 员 口令 即 可 登录 系统 ， 此 时 用 户 身份 是 管理 员 。 也 可 以 使 
用 替换 用 户 命令 su 登录 管理 员 环境 。 

2) ”用 户 管理 
用 户 管理 中 主要 包括 以 下 一 些 操作 。 

(1) 添加 用 户 。 添 加 用 户 使 用 useradd 命令 ， 该 命令 的 选项 较 多 ， 如 不 指定 则 按 默 认 方 
式 处 理 。useradd 并 不 为 用 户 设置 口令 ， 必 须 使 用 passwd 命令 进行 口令 设置 后 ， 该 用 户 才 可 
以 正式 使 用 。 

(2) 设置 口令 。 建 立 一 个 新 用 户 后 必须 为 其 设置 口令 ， 设 置 口令 的 命令 是 passwd， 系 
统管 理 员 可 以 使 用 该 命令 为 普通 用 户 设置 口令 ， 命 令 格式 如 下 。 


passwd [-u] [username] 


$$ PS. 
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(3) 删除 用 户 。 使 用 userdel 命令 删除 用 户 ， 命 令 格式 如 下 。 


userdel [-r] [usernamel] 


3) “用户 组 管理 
(1) 添加 用 户 组 。 使 用 groupadd 命令 添加 用 户 组 ， 命 令 格式 如 下 。 


groupadd [-g gid[-o]l] [-r] [-f] [group] 


(2) 删除 用 户 组 。 使 用 groupdel 命令 删除 用 户 组 ， 命 令 格式 如 下 。 


groupdel [group] 


(3) 修改 用 户 组 属性 。 使 用 groupmod 命令 修改 用 户 组 属性 ， 命 令 格式 如 下 。 


groupmod [-g gid[-o]] [-n group name] [group] 


另外 ， 还 可 以 使 用 LinuxConf 图 形 工具 管理 用 户 和 用 户 组 。 
4. 答案 : 
理想 的 网 络 存储 备份 系统 设计 应 该 提供 多 层 的 服务 ， 并 应 该 提供 如 下 功能 。 
4 ”集中 式 管理 。 
数据 库 备 份 和 恢复 、 全 自动 备份 。 
在 线 式 索引 。 
归档 管理 。 
存储 介质 管理 。 
分 级 存储 管理 。 
系统 灾难 恢复 。 

4 满足 系统 不 断 增 加 的 需求 。 

5. 答案 : 

正确 维护 网 络 的 第 一 步 是 标记 它 当前 的 状态 。 只 有 在 分 析 了 网 络 过 去 的 性 能 之 后 ， 才 
能 预测 网 络 将 来 的 状态 。 测 量 和 记录 网 络 当前 状态 的 操作 称 为 标定 基准 线 (Base Lining)。 基 
准 线 参 数 包括 主干 网 的 利用 率 ， 每 日 、 每 小 时 登录 的 用 户 数 ， 网 络 上 运行 的 协议 数 ， 错 误 
的 统计 数 (如 巨型 包 、 冲 突 、 坏 的 部 件 ， 或 者 是 碎 包 等 )， 网 络 设备 被 使 用 的 频率 ， 以 及 有 关 
哪个 用 户 占用 了 最 多 带宽 的 信息 等 。 

正确 掌握 网 络 的 基准 线 ， 有 利于 确定 网 络 正常 运行 的 状态 ， 对 快速 判断 异常 情况 有 很 
大 的 帮助 。 
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1.5 网 络 系统 的 管理 和 评价 


1.5.1 考点 辅导 


1.5.1.1 网 管 系统 的 功能 及 构成 
1. 网 络 管理 功能 


在 OSI 系统 管理 标准 中 ， 将 开放 系统 的 管理 功能 划分 为 5 个 功能 领域 ， 即 配置 管理 、 
性 能 管理 、 故 障 管理 、 安 全 管理 和 计 费 管理 功能 领域 。 这 5 个 功能 领域 覆盖 了 网 络 管理 所 


网 络 工程 师 考试 同步 辅导 (下 午 科 目 )( 第 4 版 ) 


需 的 主要 功能 ， 为 网 络 管理 系统 的 功能 分 析 、 设 计 和 实现 提供 了 基本 概念 。 
1) “配置 管理 
配置 管理 是 最 基本 的 网 络 管理 功能 ， 负 责 监测 和 控制 网 络 的 配置 状态 。 具 体 地 讲 ， 就 

是 在 网 络 建立 、 扩 充 、 改 造 以 及 业务 的 开展 过 程 中 ， 对 网 络 的 拓扑 结构 、 资 源 配备 、 使 用 

状态 等 配置 信息 进行 定义 、 监 测 和 修改 。 

2) ”性 能 管理 

性 能 管理 用 来 保证 有 效 地 运营 网 络 并 提供 约定 的 服务 质量 。 在 保证 各 种 业务 的 服务 质 
量 (QoS) 的 同时 ， 尽 量 提高 网 络 资源 的 利用 率 。 性 能 管理 包括 性 能 监测 功能 、 性 能 分 析 功 能 
和 性 能 管理 控制 功能 。 

3) ”故障 管理 

故障 管理 的 作用 是 迅速 发 现 和 纠正 网 络 故障 ， 动 态 维护 网 络 的 有 效 性 。 故 障 管理 的 主 
要 功能 有 报警 监测 、 故 障 定位 、 测 试 、 业 务 恢复 以 及 修复 等 ， 同 时 还 有 维护 故障 日 志 的 
功能 。 

4) ”安全 管理 

安全 管理 的 作用 是 提供 信息 的 保密 、 认 证 和 完整 性 保护 机 制 ， 使 网 络 中 的 服务 、 数 据 
和 系统 免 受 侵扰 和 破坏 。 安 全 管理 主要 包含 风险 分 析 功能 ， 安 全 服务 功能 ， 告 警 、 日 志和 
报告 功能 以 及 网 络 管理 系统 保护 功能 。 

5) 计 费 管理 

计 费 管理 的 作用 是 正确 地 计算 和 收取 用 户 使 用 网 络 服务 的 费用 ， 进 行 网 络 资源 利用 率 
的 统计 和 网 络 的 成 本 效益 核算 。 计 费 管理 主要 提供 费 率 管理 功能 和 账单 管理 功能 。 

2. 网 管 系统 的 构成 

一 个 完整 的 网 络 管理 系统 由 多 个 部 件 组 成 ， 主 要 包括 以 下 几 个 。 

9 网 络 管理 协议 。 

4 网 络 管理 工作 站 。 

4 被 管 网 络 部 件 。 

4 ”管理 信息 库 (MIB)。 

作为 管理 者 (Manager), 一 个 网 络 系统 中 可 以 有 一 个 (或 者 几 个 ) 网 络 管理 工作 站 。 被 管理 

者 称 作 代 理 (Agent)， 网 上 具有 多 个 被 管 网 络 部 件 。 网 络 管理 协议 是 管理 者 和 被 管理 者 之 间 

的 操作 规范 , 而 具体 的 操作 对 象 则 是 管理 信息 的 集合 一 管理 信息 库 (Management Information 

Base, MIB)。 

网 络 管理 系统 的 基本 工作 流程 如 下 。 

(1) 在 被 管理 部 件 上 预 置 代 理 。 

(2) 网 络 管理 者 使 用 网 络 管理 协议 从 代理 的 MIB 中 取得 被 管 网 络 部 件 的 管理 信息 ， 并 

存 入 自己 的 MIB。 

(3) 管理 软件 通过 对 MIB 的 分 析 处 理 ， 达 到 网 络 监控 的 管理 目的 。 


1.5.1.2 ”网 络 管理 协议 


网 络 管理 协议 是 管理 者 和 被 管理 者 之 间 共 同 遵循 的 规则 ， 他 们 之 间 可 以 通过 网 络 管理 
协议 完成 管理 信息 的 交换 任务 。 常 用 的 网 络 管理 协议 包括 SNMP、MIB- 工 和 RMON 等 , 它 
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们 都 是 基于 TCP/IP 协议 工作 的 。 

1. SNMP 

1) SNMP 概述 

SNMP 的 前 身 是 简单 网 关 监 控 协 议 SGMP)， 用 来 对 通信 线路 进行 管理 。 随 后 对 其 改进 
并 加 入 了 符合 Internet 定 义 的 SMI 和 MIB 体系 结构 ,改进 后 的 协议 就 是 著名 的 SNMP。SNMP 
的 目标 是 管理 Intemet 上 众多 厂家 生产 的 软 硬 件 平台 ， 因 此 SNMP 受 Internet 标准 网 络 管理 
框架 的 影响 很 大 。SNMP 的 体系 结构 如 图 1-11 所 示 。 


网 络 管理 者 
(网 络 管理 站 ) 


被 管 代理 被 管 代 理 被 管 代理 
MIB 视 图 MIB 视 图 MIB 视 图 
主机 网 关 终端 服务 器 


1-11 SNMP 的 体系 结构 


SNMP 的 体系 结构 围绕 以 下 4 个 概念 和 目标 进行 设计 。 

4 使 管理 代理 的 软件 成 本 尽 可 能 低 。 

4 ”最 大 限度 地 保持 远程 管理 的 功能 ， 以 便 充分 利用 Internet 上 的 网 络 资源 。 
4 ”体系 结构 必须 有 扩充 的 余地 。 

98 ”保持 SNMP 的 独立 性 ， 不 依赖 于 具体 的 计算 机 、 网 关 和 网 络 传输 协议 。 
在 SNMP 的 改进 版 本 SNMPv2 中 ， 又 加 入 了 保证 SNMP 体系 本 身 安 全 性 的 目标 。 
另外 ，SNMP 中 提供 了 以 下 4 类 管理 操作 。 

4 ”get 操作 : 用 来 提取 特定 的 网 络 管理 信息 。 

4 ”get-next 操作 : 通过 遍历 操作 来 提供 强大 的 管理 信息 的 提取 能 力 。 

4 set 操作 : 用 来 对 管理 信息 进行 控制 (修改 、 设 置 )。 

4 trap 操作 : 用 来 报告 重要 的 事件 。 

各 种 操作 的 执行 如 图 1-12 所 示 。 


SNMP 管 理 进程 SNMP 代 理 进程 
Bet-request ~ UDP 端口 161 
get-response 
get-next-request 6 UDP 端 D161 
get-response 
Cn .UDP 端口 161 
get-response 
js 
tral 
UDP 端 P162 9 


1-12 SNMP 的 4 种 操作 
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2) SNMP 管理 控制 框架 与 实现 

(1) SNMP 管理 控制 框架 。 

SNMP 定义 了 管理 进程 (Manager) 和 管理 代理 (Agent) 之 间 的 关系 , 这 个 关系 被 称 为 共同 
体 (Community)。 描 述 共同 体 的 语义 是 非常 复杂 的 ， 但 其 句法 却 很 简单 。 位 于 网 络 管理 工作 
站 (运行 管理 进程 ) 和 各 网 络 元 素 上 , 利用 SNMP 相互 通信 , 并 对 网 络 进行 管理 的 软件 统称 为 
SNMP 应 用 实体 。 若 干 个 应 用 实体 和 SNMP 组 合 起 来 形成 一 个 共同 体 ， 不 同 的 共同 体 之 间 
用 名 字 来 区 分 。 共 同体 的 名 字 必须 符合 Internet 的 层次 结构 命名 规则 , 由 非 保留 字符 串 组 成 。 
此 外 ， 一 个 SNMP 应 用 实体 可 以 加 入 多 个 共同 体 。 

SNMP 的 应 用 实体 对 Internet 管理 信息 库 中 的 管理 对 象 进行 操作 。 一 个 SNMP 应 用 实体 
可 操作 的 管理 对 象 子 集 称 为 SNMP MIB 授权 范围 。SNMP 应 用 实体 对 授权 范围 内 管理 对 象 
的 访问 还 有 进一步 的 访问 控制 限制 ， 比 如 只 读 、 读 / 写 等 ，SNMP 体系 结构 中 要 求 每 个 共同 
体 都 规定 其 授权 范围 及 其 对 每 个 对 象 的 访问 方式 。 记 录 这 些 定义 的 文件 被 称 为 共同 体 定义 
文件 。 

SNMP 的 报 文 总 是 源 自 每 个 应 用 实体 ， 报 文中 包括 该 应 用 实体 所 在 的 共同 体 的 名 字 。 
这 种 报 文 在 SNMP 中 称 为 有 身份 标识 的 报 文 ， 共 同体 名 字 是 在 管理 进程 和 管理 代理 之 间 交 
换 管理 信息 报 文 时 使 用 的 。 管 理 信息 报 文 中 包括 以 下 两 部 分 内 容 。 

4 共同 体 名 : 加 上 发 送 方 的 一 些 标识 信息 (附加 信息 ), 用 以 验证 发 送 方 确实 是 共同 体 

中 的 成 员 。 共 同体 实际 上 就 是 用 来 实现 管理 应 用 实体 之 间 身 份 鉴别 的 机 制 。 

98 数据 ; 这 是 两 个 管理 应 用 实体 之 间 真正 需要 交换 的 信息 。 

eigen he 4 是 实现 了 简单 的 身份 鉴别 ， 接 收 方 仅 赁 共同 体 名 来 判定 收发 双 
方 是 否 在 同一 个 共同 体 中 ， 而 前 面 提 到 的 附加 信息 尚未 应 用 。 接 收 方 在 验 明 发 送 报 文 的 管 
we 访问 权限 检查 涉及 以 下 因素 。 

4 一 个 共同 体内 各 成 员 可 以 对 哪些 对 象 进行 读 、 写 等 管理 操作 ， 这 些 可 读 写 对 象 称 

为 该 共同 体 的 授权 对 象 (在 授权 范围 内 )。 

4 ”共同 体 成 员 对 授权 范围 内 每 个 对 象 定义 了 访问 模式 ， 只 读 或 可 读 写 。 

4 规定 授权 范围 内 每 个 管理 对 象 (类 ) 可 进行 的 操作 (包括 get、get-next、set 和 trap)。 

4 管理 信息 库 (MIB) 限 制 对 每 个 对 象 的 访问 方式 (如 MIB 中 可 以 规定 哪些 对 象 只 能 

读 而 不 能 写 等 )。 

管理 代理 通过 上 述 预先 定义 的 访问 模式 和 权限 ， 来 决定 共同 体 中 其 他 成 员 要 求 的 管理 
对 象 访问 (操作 ) 是 否 允 许 。 共 同体 概念 同样 适用 于 转换 代理 (Proxy Agent)， 只 不 过 转换 代理 
中 包含 的 对 象 主要 是 其 他 设备 的 内 容 。 

(2) SNMP 的 实现 方式 。 

为 了 提供 遍历 管理 信息 库 的 手段 ，SNMP 在 其 MIB 中 采用 了 树 状 命名 方法 对 每 个 管理 
对 象 的 实例 进行 命名 。 每 个 对 象 实例 的 名 字 都 由 对 象 类 名 字 加 上 一 个 后 缀 构成 ， 对 象 类 的 
名 字 是 不 会 相互 重复 的 ， 因 而 不 同 对 象 类 的 对 象 实例 之 间 也 很 少 有 重 名 的 危险 。 

在 共同 体 的 定义 中 一 般 要 规定 该 共同 体 授权 的 管理 对 象 的 范围 ， 相 应 地 也 就 规定 了 哪 
些 对 象 实例 是 该 共同 体 的 “管辖 范围 ”。 据 此 ， 共 同体 的 定义 可 以 想象 为 一 个 多 又 树 ， 以 
字典 序 提供 了 遍历 所 有 管理 对 象 实例 的 手段 。 有 了 这 个 手段 ，SNMP 就 可 以 使 用 get-next 
操作 符 ， 顺 序 地 从 一 个 对 象 找到 下 一 个 对 象 。get-next(object-instance) 操 作 返 回 的 结果 是 一 
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个 对 象 实例 的 标识 符 及 其 相关 信息 , 该 对 象 实例 在 上 面 的 多 又 树 中 紧 排 在 指定 标识 符 object- 
instance 对 象 的 后 面 。 这 种 手段 的 优点 在 于 : 即使 不 知道 管理 对 象 实例 的 具体 名 字 ， 管 理 系 
统 也 能 逐个 地 找到 它 ， 并 提取 到 它 的 有 关 信 息 。 遍 历 所 有 管理 对 象 的 过 程 可 以 从 第 一 个 对 
象 实例 开始 (这 个 实例 一 定 要 给 出 )， 然 后 逐次 使 用 get-next， 直 到 返回 一 个 差错 (表示 不 存在 
的 管理 对 象 实例 ) 结 束 (完成 遍历 )。 

由 于 信息 是 以 表格 形式 (一 种 数据 结构 ) 存 放 的 , 在 SNMP 的 管理 概念 中 , 把 所 有 表格 都 
视 为 子 树 ， 其 中 一 张 表格 (及 其 名 字 ) 是 相应 子 树 的 根 节 点 ， 每 个 列 是 根 下 面 的 子 节点 ， 一 列 


中 的 每 个 行 则 是 该 列 节 点 下 面 的 子 节 点 ， 并 且 是 子 树 的 叶 节点 ， 如 图 1-13 所 示 。 
root 
ccitt(0) iso(1) joint-iso-ccitt(2) 
org(3) 
dod(6) 


intemet(D) < 1.3.6.1 


directory(1) mgmt(2) experimental(3) private(4) 
mib(1) 二 1.3.6.1.2.1 enterprises(1) 
system(1) interfaces(2) at(3) ip(4) icmp(3) tcp(6) udp(7) 


图 1-13 管理 信息 库 中 的 对 象 标识 


因此 ， 按 照 前 面 的 子 树 遍 历 思路 ， 对 表格 的 遍历 是 先 访问 第 一 列 的 所 有 元 素 ， 再 访问 
第 二 列 的 所 有 元 素 …… 直 到 最 后 一 个 元 素 。 若 试图 得 到 最 后 一 个 元 素 的 “下 一 个 ”元 素 ， 
则 返回 差错 标记 。 
SNMP 中 的 各 种 管理 信息 大 多 以 表格 形式 存在 ， 一 个 表格 对 应 一 个 对 象 类 ， 每 个 元 素 
对 应 于 该 类 的 一 个 对 象 实例 。 那 么 ， 管 理 信息 表 对 象 中 单个 元 素 ( 对 象 实例 ) 的 操作 可 以 用 前 
面 提 到 的 getnext 方法 ,也 可 以 用 get/set 等 操作 。 下 面 主要 介绍 表格 内 一 行 信息 的 整体 操作 。 
4 增加 一 行 : 通过 SNMP 只 用 一 次 set 操作 就 可 在 一 个 表格 中 增加 一 行 。 操 作 中 的 每 
个 变量 都 对 应 于 待 增加 行 中 的 一 个 列 元 素 ， 包 括 对 象 实例 的 标识 符 。 
《 删除 一 行 : 删除 一 行 也 可 以 通过 SNMP 调用 set 操作 , 将 该 行 中 的 任意 一 个 元 素 (对 
象 实例 ) 设 置 成 “非法 ” 即 可 。 
至 于 删除 一 行 时 ， 表 中 的 一 行 元 素 是 否 真 的 在 表 中 消失 ， 则 与 每 个 设备 (管理 代理 ) 的 具 
体 实 现 有 关 ， 因 此 管理 进程 必须 能 通过 各 数据 字段 的 内 容 来 判断 数据 的 合法 性 。 
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3) SNMP 协议 

SNMP 是 一 个 异步 的 请 求 /响应 协议 ， 即 SNMP 的 请 求 和 响应 之 间 没 有 必定 的 时 间 顺 序 
关系 ， 换 句 话 说 ，SNMP 是 一 个 面向 无 连接 的 协议 。 这 样 ，SNMP 实体 不 需要 在 发 出 请 求 
后 立即 等 待 响应 的 到 来 ， 因 此 SNMP 响应 也 可 能 丢失 或 出 现 错误 。 

SNMP 中 设计 了 四 种 基本 协议 的 交互 过 程 。 

第 一 种 情况 是 管理 进程 从 管理 代理 处 提取 管理 信息 。 管 理 进程 通过 SNMP 和 传输 网 络 
发 送 get-request 给 管理 代理 ， 请 求 中 包括 管理 对 象 的 标识 符 等 参数 ;管理 代理 收 到 请 求 后 
返回 相应 内 容 的 get-response, 响应 中 包括 待 提 取 的 管理 信息 。 

第 二 种 情况 是 管理 进程 在 管理 代理 的 可 见 范围 内 遍历 一 部 分 管理 对 象 实例 。 管 理 进程 
通过 SNMP 和 传输 网 络 发 送 get-next-request 给 管理 代理 ， 管 理 代理 收 到 后 完成 遍历 的 一 次 
操作 ， 用 get-response 将 遍历 结果 返回 给 管理 进程 。 

第 三 种 情况 是 管理 进程 在 管理 代理 中 存储 信息 ， 即 对 管理 代理 的 管理 信息 库 (MIB) 进 行 
写 操作 (包括 设置 工作 参数 )。 管 理 进程 发 送 一 个 set-request 给 管理 代理 , 由 管理 代理 完成 set 
操作 ， 然 后 用 set-response 返回 操作 结果 。 

第 四 种 情况 则 是 管理 代理 主动 向 管理 进程 报告 事件 。 管 理 代理 通过 SNMP 和 传输 网 络 
将 trap 发 送 给 管理 进程 ， 这 个 操作 没有 响应 。 

注意 : 上 面 的 各 个 请 求 都 是 管理 进程 发 给 管理 代理 的 ， 响 应 则 都 是 由 管理 代理 发 给 管 
理 进 程 的 。 只 有 trap 是 无 响应 的 ， 由 管理 代理 单 向 发 给 管理 进程 。 另 外， 请 求 、 响 应 和 trap 
的 传输 处 理 都 要 受 “ 共 同体 ”定义 的 限制 ， 包 括 访问 权限 。 

SNMP 协议 是 一 个 对 称 协议 ， 没 有 主 从 关系 。SNMP 上 的 管理 进程 和 管理 代理 都 可 以 
得 到 SNMP 完全 相同 的 服务 。 下 面 对 SNMP 协议 的 部 分 特点 和 关键 内 容 进 行 介绍 。 

(1) 管理 信息 报 文 。 

在 大 多 数 SNMP 操作 中 都 使 用 一 个 相同 的 报 文 数据 结构 。 对 于 前 面 提 到 的 身份 鉴别 方 
法 ， 报 文中 包含 三 种 数据 (信息 ) 传 递 给 专门 的 “身份 鉴别 实体 ”: 共同 体 名 称 、 有 关 数 据 和 
发 送 方 SNMP 实体 的 传输 层 地 址 。 

身份 鉴别 实体 负责 验证 发 送 方 是 否 是 合法 的 对 等 实体 ， 并 返回 两 种 可 能 的 结果 : 一 种 
结果 是 返回 本 次 报 文中 的 SNMP 协议 数据 类 型 和 发 送 方 SNMP 实体 的 权限 标识 符 ， 男 一 种 
结果 是 返回 例外 。 其 中 第 一 种 结果 表明 发 送 方 SNMP 实体 确实 是 本 共同 体 的 成 员 之 一 ， 接 
收 方 SNMP 实体 接 下 来 对 它 进行 处 理 。 第 二 种 结果 (“例外 ”) 表 明 发 送 方 SNMP 实体 并 非 
本 共同 体 成 员 ， 不 能 接受 此 报 文 ， 并 且 接 收 方 SNMP 实体 还 可 能 根据 配置 产生 一 个 “身份 
非法 ”的 trap 事件 。 

(2) 协议 数据 单元 及 其 管理 操作 。 

SNMP 协议 实体 之 间 的 协议 数据 单元 PDU) 只 有 两 种 不 同 的 结构 和 格式 ， 一 个 PDU 格 
式 在 大 部 分 操作 中 使 用 ， 而 另 一 个 则 只 在 trap 操作 中 作为 trap 的 协议 数据 单元 。 

PDU 一 般 包含 多 个 代表 特殊 意义 的 字段 : request-id 是 一 个 整数 值 ， 用 来 区 分 不 同 的 
PDU; error-status 反映 管理 操作 是 成 功 还 是 失败 ;errorindex 表明 操作 中 哪个 变量 错误 ; 
variable-bindings 是 一 系列 变量 的 清单 ， 序 列 中 每 一 项 包含 一 个 变量 名 及 其 变量 值 。 

在 SNMP 中 ， 接 收 方 完成 身份 鉴别 并 得 到 共同 体 定 义 信息 之 后 ，SNMP 实体 根据 PDU 
内 容 执行 以 下 几 种 操作 : get 操作 ， 根 据 变量 名 取出 指定 的 对 象 实例 ，getrnext 操作 ， 该 操 
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作 与 get 操作 不 同 , 不 是 取 变量 名 指定 的 对 象 实 例 , 而 是 取出 变量 名 指定 的 对 象 实例 的 按 字 
典 排序 的 下 一 个 对 象 实 例 ; set 操作 , 对 指定 对 象 实体 的 值 用 请 求 中 的 新 值 蔡 换 ; get-response 
对 get/set 报 文 做 出 响应 并 返回 操作 结果 ， 收 到 该 响应 报 文 的 操作 请 求 方 首先 根据 报 文中 的 
request-id 在 记录 中 查找 有 无 这 个 序号 的 请 求 ， 如 果 没 有 则 丢弃 该 响应 ， 否 则 接收 该 响应 ， 
管理 进程 要 进行 响应 处 理 。 

(3) trap 操作 。 

trap 是 一 种 捕捉 事件 并 报告 的 操作 , 实际 上 几乎 所 有 网 络 管理 系统 和 管理 协议 都 具有 这 
种 机 制 。trap 在 OSI 网 络 管理 国际 标准 中 称 为 “事件 和 通报 ”， 一 般 都 简称 为 事件 报告 。 

为 了 减少 管理 信息 的 业务 流量 ， 管 理 代理 负责 对 管理 对 象 的 trap 进行 检查 ， 管 理 检查 
可 以 设置 检查 条 件 ， 这 样 ， 管 理 进程 就 可 以 在 一 定 程度 上 控制 trap 报告 过 程 。 引 入 trap 报 
告 的 最 大 好 处 是 许多 重要 事件 的 发 生得 以 及 时 让 管理 进程 知道 。 因 为 一 般 只 有 比较 关键 的 
trap 事件 才 确 实 需 要 报告 , 再 加 上 每 个 trap 事件 都 很 简短 , 因此 由 于 trap 而 引入 的 不 确定 管 
理 信息 业务 量 是 较 少 的 ， 但 却 能 大 大 改善 网 络 管理 的 时 效 性 。 

由 于 事件 多 种 多 样 , 各 种 事件 的 发 生 环境 也 不 一 样 ,trap 操作 的 复杂 性 比 前 面 讲 的 几 种 
操作 都 大 ，SNMP 的 trap 操作 PDU 中 的 字段 类 型 也 较 多 。 这 些 trap 操作 PDU 中 的 字段 包 
括 : enterprise， 记 录 发 送 trap 事件 的 管理 代理 的 标识 符 ;，agent-addr， 管 理 代理 的 网 络 节点 
地 址 ，generic-trap， 描 述 该 trap 操作 报告 是 哪 一 种 异常 事件 ，specific-trap， 给 出 各 管理 代理 
自行 定义 的 trap 事件 代码 ;time-stam， 表 示 trap 事件 发 生 的 时 刻 ;variable-bindings， 给 出 
一 组 变量 ， 这 些 变量 及 其 值 给 出 了 与 trap 事件 有 关 的 详细 信息 。 

当 管理 代理 检测 到 一 个 例外 或 异常 事件 发 生 时 ， 管 理 代 理 首先 要 判断 需要 将 该 事件 报 
告 给 哪个 或 哪些 管理 进程 。 对 每 个 管理 进程 ， 管 理 代理 要 选择 相应 的 共同 体 号 ， 由 SNMP 
协议 实体 按照 前 面 的 字段 格式 构造 trap 报告 的 PDU， 再 将 其 发 送出 去 。 

(4) SNMP PDU 的 传输 。 

SNMP 的 设计 是 独立 于 具体 的 传输 网 络 的 ， 也 就 是 说 ， 它 既 可 以 在 TCP/IP 的 支持 下 操 
作 ， 也 可 以 在 OSI 的 传输 层 协议 支持 下 完成 操作 ， 甚 至 可 以 在 以 太 网 的 直接 支持 下 实现 操 
作 。 其 中 对 OSI 传输 层 的 服务 没有 要 求 ， 既 可 以 是 有 连接 的 服务 ， 也 可 以 是 无 连接 的 服务 。 
为 了 实现 上 述 目标 ，Internet 组 织 定义 了 若干 映射 标准 ， 规 定 了 如 何 将 SNMP 协议 数据 单元 
PDU 映射 到 下 层 的 无 连接 传输 请 求 上 去 。 

在 所 有 各 种 映射 定义 中 ， 有 一 点 是 相同 的 ， 即 所 有 SNMP 报 文 数据 是 通过 一 个 “顺序 
化 ”过 程 在 网 络 上 传输 的 ， 这 个 顺序 化 过 程 可 以 将 任意 结构 的 数据 编码 成 一 个 有 序 的 字符 
串 进 行 传送 。 对 方 收 到 这 些 字符 串 后 则 按照 完全 相同 的 语法 将 它们 解码 成 原来 的 数据 结构 。 

(5) MIB 中 为 SNMP 定义 的 管理 对 象 。 

在 Internet 的 第 二 版 管理 信息 库 (MIB-I) 中 ， 为 SNMP 应 用 实体 定义 了 若干 管理 对 象 ， 
其 中 包括 SNMP 的 各 种 服务 原 语 、 各 种 收发 协议 数据 单元 、 各 种 参数 指示 或 统计 变量 等 ， 
凡 SNMP 中 可 操作 的 数据 结构 或 变量 都 包括 在 内 ， 下 面 将 详细 介绍 。 

2.MIB-II 


在 TCP/IP 网 络 管理 的 建议 标准 中 ， 提 出 了 多 个 相互 独立 的 MIB， 其 中 包含 为 Internet 
的 网 络 管理 而 开发 的 MIB- 开 。 鉴 于 它 在 说 明 标 准 MIB 的 结构 、 作 用 和 定义 方法 等 方面 的 重 
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要 性 和 代表 性 ， 有 必要 对 其 进行 比较 深入 的 讨论 。 

MIB-I[ 是 在 MIB- I 的 基础 上 开发 的 ， 是 MIB- 的 一 个 超 集 。MIB- 了 [组 被 分 为 以 下 
分 组 。 
system: 关于 系统 的 总 体 信息 。 
interfaces: 系统 到 子 网 接口 的 信息 。 
at(address translation): 描述 Internet 到 子 网 的 地 址 映射 。 
p: 关于 系统 中 JP 的 实现 和 运行 信息 。 
icmp: 关于 系统 中 ICMP 的 实现 和 运行 信息 。 
tcp: 关于 系统 中 TCP 的 实现 和 运行 信息 。 
udp: 关于 系统 中 UDP 的 实现 和 运行 信息 。 
egp: 关于 系统 中 EGP 的 实现 和 运行 信息 。 
dot3(transmission): 有 关 每 个 系统 接口 的 传输 模式 和 访问 协议 的 信息 。 
snmp: 关于 系统 中 SNMP 的 实现 和 运行 信息 。 

1) system 组 

system 组 提供 有 关 被 管 系统 的 总 体 信息 。 

2) interfaces 组 

interfaces 组 包含 实体 物理 接口 的 一 般 信 息 ， 包 括 配 置信 息 和 各 接口 中 所 发 生 的 事件 的 
统计 信息 。 

3) ”address translation 组 

address translation 组 由 一 个 表 构 成 , 表 中 的 每 一 行 对 应 系统 中 的 一 个 物理 接口 , 提供 网 
络 地 址 向 物理 地 址 的 映射 。 一 般 情况 下 ， 网 络 地 址 是 指 系统 在 该 接口 上 的 他 地址 ， 而 物理 
地 址 决定 于 实际 采用 的 子 网 情况 。 例 如 ， 如 果 接 口 对 应 的 是 LAN， 则 物理 地 址 是 接口 的 
MAC 地 址 ， 如果 对 应 X.25 分 组 交换 网 ， 则 物理 地 址 可 能 是 一 个 X.121 地 址 。 

实际 上 ,address translation 组 包含 在 MIB- 开 中 只 是 为 了 与 MIB- 兼容 , MIB- 了 的 地 址 
转换 信息 在 各 个 网 络 协议 组 中 提供 。 

4) 认 组 

组 包含 有 关节 点 上 IP 的 实现 和 操作 的 信息 , 如 有 关 人 P 层 流量 的 一 些 计数 器 。ip 组 中 
包含 3 个 表 : ipAddrTable、ipRouteTable 和 ipNetToMediaTable。 

ipAddrTable 包含 分 配给 该 实体 的 了 P 地 址 的 信息 ， 每 个 地 址 被 唯一 地 分 配给 一 个 物理 
地 址 。 

ipRouteTable 包含 用 于 互联 网 路 由 选择 的 信息 , 该 路 由 表 中 的 信息 是 从 一 些 协议 的 路 由 
表 中 抽取 而 来 的 。 实 体 当前 所 知 的 每 条 路 由 都 有 一 个 条 目 ， 表 格 由 ipRouteDest 索引 。 
ipRouteTable 中 的 信息 可 用 于 配置 的 监测 ， 并 且 由 于 表 中 的 对 象 是 read-write 的 ， 因 此 也 可 
被 用 于 路 由 控制 。 

ipNetToMediaTable 是 一 个 提供 他 地 址 和 物理 地 址 之 间 对 应 关系 的 地 址 转换 表 。 除 了 增 
加 一 个 指示 映射 类 型 的 对 象 ipNetToMediaType 之 外 , 表 中 所 包含 的 信息 与 address translation 
组 相同 。 

此 外 ，ip 组 中 还 包含 一 些 用 于 性 能 和 故障 监测 的 标量 对 象 。 
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5) icmp 组 

ICMP(Internet Control Message ProtocoD) 是 TCP/IP 协议 族 中 的 一 部 分 , 所 有 实现 他 协议 
的 系统 都 提供 ICMP。ICMP 提供 从 路 由 器 或 其 他 主机 向 主机 传递 消息 的 手段 ， 它 的 基本 作 
用 是 反馈 通信 环境 中 存在 的 问题 。 例 如 ， 数 据 报 不 能 到 达 目 的 地 ， 路 由 器 没有 缓冲 区 来 转 
发 数据 报 。 

icmp 组 包含 有 关 一 个 节点 的 ICMP 的 实现 和 操作 的 信息 ， 有 具体 地 讲 ，icmp 组 为 节点 接 
收 和 发 送 的 各 种 ICMP 消息 的 计数 器 构成 一 个 表 。 

6) tcp 组 

tcp 组 包含 有 关 一 个 节点 的 TCP 的 实现 和 操作 的 信息 。 

7) udp 组 

udp 组 包含 有 关 一 个 节点 的 UDP 的 实现 和 操作 的 信息 。 除 了 有 关 发 送 和 接收 的 数据 报 
的 信息 之 外 ， 这 个 组 中 还 包含 一 个 udpTable 表 ， 该 表 中 包含 UDP 端点 的 管理 信息 。 所 谓 
UDP 端点 是 指正 在 支持 本 地 应 用 接收 数据 报 的 UDP 进程 。udpTable 表 中 包含 每 个 UDP 端 
点 用 户 的 外 地 址 和 UDP 端口 。 

8) egp 组 

egp 组 包含 有 关 一 个 节点 的 EGP(External Gateway Protocol) 的 实现 和 操作 的 信息 。 除 了 
有 关 发 送 和 接收 的 EGP 消息 的 信息 外 ， 这 个 组 中 还 包含 一 个 egpNeighTable 表 ， 该 表 中 包 
含有 关 相 邻 网 关 的 信息 。 

3.RMON 

简单 网 络 管理 协议 SNMP 是 基于 TCP/IP 协议 并 在 Intemet 中 应 用 最 广泛 的 网 管 协议 ， 
但 是 SNMP 也 有 一 些 明 显 的 不 足 ， 主 要 有 以 下 4 点 。 

9 ”由 于 SNMP 使 用 轮 询 采集 数据 ， 而 在 大 型 网 络 中 轮 询 会 产生 数量 巨大 的 网 络 管理 

通信 报 文 ， 导 致 网 络 交通 拥挤 甚至 阻塞 ， 故 不 适合 管理 大 型 网 络 。 

4 ”不 适合 回收 大 信息 量 的 数据 ， 如 一 个 完整 的 路 由 表 。 

4 ”基于 SNMP 的 标准 仅 提供 一 般 的 验证 ， 不 能 提供 可 靠 的 安全 保证 。 

4 不 支持 Manager-to-Manager 的 分 布 式 管理 ， 它 将 收集 数据 的 负担 加 在 网 管 站 上 ， 

使 其 成 为 瓶颈 。 

为 了 提高 传送 管理 信息 的 可 用 性 ， 减 少 管理 站 的 负担 ， 满 足 网 络 管理 员 监控 网 段 性 能 
的 需求 ，IETF 开发 了 RMON 以 解决 SNMP 在 日 益 扩大 的 分 布 式 互 联 中 的 局 限 性 。 

远程 网 络 监视 RMON) 首 先 实 现 了 对 异 构 环境 进行 一 致 的 远程 管理 , 它 为 通过 端口 远程 
监视 网 段 提供 了 解决 方案 .RMON 是 IETF 定义 的 MIB(RFC1757), 是 对 SNMP 标准 的 扩展 ， 
它 定 义 了 标准 功能 以 及 在 基于 SNMP 管理 站 和 远程 监控 者 之 间 的 接口 ， 主 要 实现 对 一 个 网 
段 乃 至 整个 网 络 的 通信 流量 的 监视 功能 ， 目 前 已 成 为 网 络 管理 标准 之 一 。 它 可 以 对 数据 网 
进行 防范 管理 ， 使 SNMP 更 有 效 、 更 积极 主动 地 监测 远程 设备 ， 使 网 络 管理 员 可 以 更 快 地 
跟踪 网 络 、 网 段 或 设备 出 现 的 故障 , 然后 采取 防范 措施 , 防止 网 络 资源 的 失效 。 RMON MIB 
的 实现 可 以 记录 网 络 事件 , 即使 在 网 络 管理 站 没有 与 监控 设备 主动 进行 连接 ( 脱 机 ) 的 情况 下 
也 如 此 。 另 外 ，RMON MIB 也 用 于 记录 网 络 性 能 数据 和 故障 历史 ， 可 以 在 任何 时 候 访问 故 
障 历史 数据 以 进行 有 效 的 故障 诊断 。 使 用 这 种 方法 减少 了 管理 者 同 代理 间 的 通信 流量 ， 使 
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简单 而 有 力 地 管理 大 型 互联 网 络 成 为 可 能 。 

RMON 监视 器 可 用 两 种 方法 收集 数据 : 一 种 方法 是 通过 专用 的 RMON 探测 仪 ， 网 管 站 
直接 从 探测 仪 上 获取 管理 信息 并 控制 网 络 资源 , 这 种 方法 可 以 获取 RMON MIB 的 全 部 信息 ; 
另 一 种 方法 是 将 RMON 代 理 直 接 植 入 网 络 设备 路由器、 交换机、Hub 等 ), 使 其 成 为 带 RMON 
Probe 功能 的 网 络 设施 , 网 管 站 用 SNMP 的 基本 命令 与 其 交换 数据 信息 , 收集 网 络 管理 信息 ， 
但 这 种 方式 受 设备 资源 的 限制 ， 一 般 不 能 获取 RMON MIB 的 所 有 数据 ， 大 多 只 收集 4 个 组 
的 信息 。 

RMON MIB 对 网 段 数据 的 采集 和 控制 通过 控制 表 和 数据 表 来 完成 。RMON MIB 按 功能 
分 成 9 个 组 。 每 个 组 都 有 自己 的 控制 表 和 数据 表 ( 有 些 组 两 者 合 一 ， 如 统计 组 )。 其 中 ， 控 制 
表 可 以 读 写 ， 数 据 表 只 能 读 ， 控 制 表 用 于 描述 数据 表 所 存放 数据 的 格式 。 配置 的 时 候 ， 由 
管理 站 设置 数据 收集 的 要 求 ， 存 入 控制 表 。 开 始 工作 后 ，RMON 监视 器 根据 控制 表 的 配置 
把 收集 到 的 数据 存放 到 数据 表 中 。 

RMON MIB 包含 以 下 9 组 数据 。 

1) ”统计 组 

统计 组 (Statistics) 统 计 被 监控 的 每 个 子 网 的 基本 统计 信息 。 网 络 管理 员 可 以 从 RMON 探 
针 监 测 的 设备 端口 获取 一 个 网 段 的 各 种 统计 信息 。 目 前 只 能 对 网 络 设备 的 以 太 网 接口 进行 
监控 和 统计 ， 将 来 会 扩展 到 包括 更 多 接口 的 特定 表格 (如 FDDD。 它 能 统计 一 个 网 段 的 流量 
(如 交通 流量 的 总 包 数 和 总 字 节 数 )， 统 计 各 种 类 型 包 的 分 布 (如 广播 包 、 多 点 广播 包 、 不 同 
大 小 包 的 数量 )， 还 能 统计 各 种 类 型 错误 包 数 、 碰 撞 次 数 等 。 

2) ”历史 组 

历史 组 (History) 定 期 收集 统计 网 络 值 的 记录 并 为 日 后 的 处 理 把 统计 存储 起 来 。 它 包含 历 
史 控制 组 和 以 太 网 历史 组 两 个 小 组 。 其 中 历史 控制 组 主要 用 来 设置 采样 间隔 时 间 等 控制 信 
息 ， 以 太 网 历史 组 为 网 络 管理 员 提供 有 关 网 段 流 量 、 错 误 包 、 广 播 包 、 利 用 率 以 及 碰撞 次 
数 等 其 他 统计 信息 的 历史 数据 。 

3) ”警报 组 

警报 组 (Alarm) 允 许 网 络 管理 站 为 网 络 性 能 (可 以 是 监视 器 本 地 MIB 的 任意 整数 类 型 的 
对 象 ) 定 义 一 组 报警 阔 值 。 如 果 闵 值 在 相应 的 方向 被 越过 ， 监 视 器 就 会 产生 警报 并 把 警报 发 
往 网 络 管理 站 。 警 报 组 需要 事件 组 的 实现 。 

4) ”主机 组 

主机 组 (Host) 包 含 对 连接 在 一 个 子 网 上 所 有 主机 的 各 种 类 型 交通 流量 的 记 数 值 。 它 能 够 
发 现 网 上 的 新 主机 ， 对 每 个 主机 的 MAC 地 址 保持 一 组 统计 数据 , 例如， 主机 发 送 或 接收 的 
数据 包 总 数 、 广 播 包 数 、 流 量 字 节 数 和 错误 包 数 等 。 它 有 一 个 控制 表 和 两 个 数据 表 ， 且 这 
两 个 数据 表 的 内 容 相同 ， 只 是 组 织 排列 顺序 不 同 。 

5) ”最 高 主机 组 

最 高 主机 组 (Host Top) 包 括 排序 后 的 主机 统计 ， 该 报告 基于 主机 表 中 的 一 些 参数 生成 列 
表 。 它 用 于 统计 在 一 个 子 网 上 一 些 参数 最 高 的 一 组 主机 ， 例 如 ， 它 可 以 列 出 10 个 传输 数据 
最 多 的 主机 ， 但 依赖 于 主机 组 的 实现 。 

6) ”和 矩阵 组 

和 矩阵 组 (Matrix) 用 于 记录 关于 子 网 上 两 个 主机 之 间 流 量 的 信息 , 该 信息 以 矩阵 形式 存储 。 
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这 种 方法 对 于 检索 特定 主机 之 间 的 流量 信息 十 分 有 用 ， 例 如 ， 用 于 找 出 哪些 设备 对 服务 器 
的 使 用 最 多 。 算 阵 组 由 三 个 表 组 成 :一 个 控制 表 和 两 个 数据 表 。 

7) 过滤 组 

过 滤 组 (FilteD 允 许 监视 器 观测 与 过 滤器 相 匹配 的 数据 包 。 网 络 监视 器 可 以 捕获 所 有 通过 
过 滤器 的 数据 包 或 简单 地 记 下 基于 这 些 数据 包 的 统计 。 

8) 包 捕获 组 

包 捕 获 组 (Capture) 控 制 数 据 被 发 往 网 管 站 的 方式 , 它 可 以 在 把 报 文 发 送 到 某 个 通道 后 记 
录 数 据 报 文 。 

9) 事件 组 

事件 组 (Evenb 提 供 关 于 RMON 代理 所 产生 的 所 有 事件 的 列表 。 当 某 个 事件 发 生 时 可 以 
记录 日 志和 发 送 IRAP 到 网 管 站 。 

尽管 RMON 有 很 多 优点 ,但 也 有 其 局 限 性 。RMON 的 MAC 层 探测 器 不 能 确定 由 服务 
器 进入 本 地 网 段 的 数据 包 的 源 点 和 终点 ， 或 者 不 能 确定 经 过 被 监视 网 段 的 通信 数据 包 的 源 
点 和 终点 。 

1994 年 ， RMON?2 工作 组 开始 致力 于 提高 现存 的 物理 层 和 数据 链 路 层 之 间 的 RMON 规 
范 ， 以 实现 在 网 络 层 和 应 用 层 提供 历史 和 数据 的 统计 服务 。 图 1-14 说 明了 OSI 参考 模型 与 
RMON 相关 规范 的 对 应 关系 。 


OSI 模型 
应 用 层 
表示 层 
会 话 层 RMON2 
传输 层 

网 络 层 
数据 链 路 层 
oo 


图 1-14 RMON 和 RMON2 所 支持 的 协议 层 


在 网 络 层 ，RMON2 通过 监视 点 对 点 通信 来 记录 网 络 使 用 的 模式 。 另 外 ，RMON2 还 显 
示 单 个 应 用 所 占用 的 带宽 ， 以 及 出 现 疑难 故障 的 关键 因素 。 

1.5.1.3 监视 网 络 性 能 、 故 障 和 安全 

1. 利用 工具 监视 网 络 性 能 

网 络 性 能 信息 收集 方案 包括 以 下 几 点 。 

4 Intemet 控制 消息 协议 ICMP Ping。 

4 ”网 络 分 析 仪 或 探测 仪 。 

® NetFlow。 

1) ICMP Ping 

Ping 对 网 络 专业 人 员 来 说 是 一 个 常用 且 对 用 户 友 好 的 故障 排除 技术 。Ping 是 一 个 工具 ， 
它 使 用 ICMP 返回 请 求 和 响应 协议 来 测试 与 人 P 地 址 的 连接 性 ， 能 够 快速 浏览 从 工作 站 到 目 
标 卫 地 址 的 设备 可 达 性 和 响应 时 间 。 然 而 ， 从 工作 站 到 远程 节点 使 用 Ping 可 能 无 法 确定 问 
题 的 位 置 ， 因 为 测量 可 能 发 生 在 不 同 网 络 路 径 或 多 跳 上 。 此 外 ， 使 用 ICMP 测量 响应 时 间 
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不 能 准确 反映 应 用 的 响应 时 间 。 一 个 透明 、 正 常 的 网 络 (如 具有 快速 Ping 响应 和 低 使 用 率 的 
网 络 ) 可 能 仍然 掩盖 着 潜在 的 响应 时 间 问 题 ， 因 为 问题 可 能 出 在 协议 栈 的 上 层 中 。 

2) ”网 络 分 析 仪 或 探测 仪 
网 络 分 析 仪 或 探测 仪 是 监测 和 解决 响应 时 间 问 题 的 常用 工具 。 探 测 仪 通常 是 一 个 用 于 
监测 网 络 段 性 能 的 专用 硬件 设备 。 例如, RMON2 探测 仪 可 以 分 析 现 有 网 络 业务 并 报告 所 连 
网 络 段 的 使 用 率 、 顶 层 会 话 者 和 会 话 ， 这 些 报告 都 被 上 层 协议 分 开 。 探 测 仪 可 捕捉 分 组 并 
分 析 分 组 的 头 信息 ， 用 于 深入 分 析 网 络 段 的 活动 。 

探测 仪 关 于 网 络 段 利用 率 和 错误 数 的 报告 可 以 帮助 网 络 专业 人 员 准确 确定 网 络 时 延 和 
问题 。 然 而 ， 需 要 在 应 用 路 径 的 每 一 跳 上 设置 许多 探测 仪 以 检测 网 络 时 延 所 处 的 位 置 。 尽 
管 网 络 分 析 仪 或 探测 仪 可 以 得 到 有 价值 的 信息 ， 但 在 解决 响应 时 间 和 可 用 性 的 问题 上 可 能 
不 是 有 效 的 方案 。 当 校准 网 络 或 分 析 链 路 、 协 议和 应 用 使 用 率 趋势 以 及 描述 和 识别 最 高 层 
上 的 对 话 者 和 会 话 时 ， 专 用 探测 仪 更 合适 。 

3) NetFlow 

Cisco IOS NetFlow 技术 收集 并 测量 进入 特定 路 由 器 或 交换 机 接口 的 数据 ， 是 Cisco IOS 
软件 的 一 个 组 成 部 分 。 

通过 分 析 NetFlow 数据 ， 网 络 管理 人 员 能 够 确定 拥塞 的 原因 、 每 个 用 户 的 CoS 以 及 应 
用 ,并 确定 业务 的 源 网 络 和 目的 网 络 。NetFlow 支持 极 高 的 粒度 和 准确 的 业务 测量 以 及 高 级 
聚合 业务 收集 。 由 于 它 是 Cisco IOS 软件 的 一 个 组 件 ， 因 此 NetFlow 支持 基于 Cisco 产品 的 
网 络 ， 以 实现 全 业务 流 分 析 ， 而 无 须 购买 客户 探测 仪 ， 从 而 使 大 型 IP 网 络 上 的 业务 分 析 更 
经 济 。 

2、 利 用 工具 监视 网 络 才 障 


网 络 监视 工具 的 种 类 较 多 ， 此 处 仅 介绍 OpenView、NetView、SunNet Manager 和 其 他 
一 些 常用 的 监视 工具 。 

1) HP 的 OpenView 

HP 的 OpenView 是 第 一 个 真正 兼容 的 、 跨 平台 的 网 络 管理 系统 ， 因 此 也 得 到 了 广泛 的 
市 场 应 用 。 虽然 OpenView 被 认为 是 一 个 企业 级 的 网 络 管理 系统 , 但 它 跟 大 多 数 别 的 网 络 管 
理 系统 一 样 ， 不 能 提供 NetWare、SNA、DECnet、X.25、 无 线 通信 交换 机 以 及 其 他 非 SNMP 
设备 的 管理 功能 。 

OpenView 不 能 处 理 因为 某 一 网 络 对 象 故障 而 导致 的 其 他 对 象 的 故障 。 另 外 ， 在 
OpenView 中 ， 性 能 的 轮 询 与 状态 的 轮 询 是 截然 分 开 的 ， 这 样 将 导致 一 个 网 络 对 象 响应 性 能 
的 轮 询 失败 ， 但 不 触发 一 个 报警 。 只 有 当 该 对 象 不 响应 状态 的 轮 询 时 才 进 行 故障 报警 ， 这 
将 导致 故障 响应 时 间 的 延长 。 

OpenView 还 使 用 了 商业 化 的 关系 数据 库 ， 这 使 得 利用 OpenView 采集 到 的 数据 开发 扩 
展 应 用 变 得 相对 容易 。 

2) IBM 的 NetView 

NetView 既 可 以 作为 一 个 跨 平 台 的 、 即 插 即 用 的 系统 提供 给 最 终 用 户 , 也 可 以 作为 一 个 
开发 平台 ， 在 上 面 开 发 新 的 网 络 管理 应 用 。 它 不 能 提供 NetWare、SNA、DECnet、X.25、 
无 线 通 信 交 换 机 以 及 其 他 非 SNMP 设备 的 管理 功能 。NetView 产品 系列 包括 一 个 故障 卡片 
系统 、 一 些 新 的 故障 诊断 工具 ， 以 及 一 些 OpenView 所 不 具备 的 其 他 特性 。 
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NetView 不 能 对 故障 事件 进行 归并 , 不 能 找 出 相关 故障 卡片 的 内 在 关系 , 因此 对 一 个 失 
效 设备 ， 即 使 是 一 个 重要 的 路 由 器 ， 也 将 导致 大 量 的 故障 卡片 和 一 系列 类 似 的 警报 。 因 此 ， 
NetView 不 具备 在 掌握 整个 网 络 结构 情况 下 管理 分 散 对 象 的 能 力 ,在 一 个 大 型 、 异 构 网 络 中 ， 
这 意味 着 服务 的 开销 不 能 轻易 地 从 网 络 开销 中 区 分 出 来 。 

同样 地 ， 在 NetView 中 ， 性 能 轮 询 与 状态 轮 询 也 是 彻底 分 开 的， 这 也 将 导致 故障 响应 
的 延迟 。NetView 也 使 用 了 商业 化 的 关系 数据 库 ， 这 使 得 利用 NetView 采集 来 的 数据 开发 
扩展 应 用 变 得 相对 容易 。 

3) Sun 的 SunNet Manager 

SunNet Manager(SNM) 是 第 一 个 重要 的 基于 UNIX 的 网 络 管理 系统 。SNM 一 直 作为 主 
要 开发 平台 而 存在 ， 但 它 仅 提供 了 很 有 限 的 应 用 功能 。 为 了 实用 化 ， 还 必须 附加 很 多 第 三 
方 开发 的 针对 具体 硬件 平台 的 网 络 管理 应 用 。SNM 跟 其 他 大 多 数 网 络 管理 系统 一 样 ， 也 不 
能 提供 NetWare、SNA、DECnet、X.25、 无 线 通信 交换 机 以 及 其 他 非 SNMP 设备 的 管理 
功能 。 

SNM 有 两 个 特性 :Proxy 管理 代理 和 集成 控制 核心 。 

4) “其 他 常用 工具 

网 络 故障 检测 还 经 常用 到 一 些 命令 ， 如 ping、traceroute、nslookup、netstat、arp 以 及 
route 等 。 

(1) ping 命令 。 

ping 命令 是 网 络 中 使 用 最 频繁 的 测试 命令 ， 它 的 协议 基础 是 TCP/IP 协议 中 的 ICMP。 

ping 命令 发 出 ICMP 的 Echo 消息 ， 接 收 者 听 到 后 应 答 ICMP 的 Echo 应 答 消息 ， 这 一 
问 一 答 就 表明 源 站 与 目的 站 间 的 TCP/IP 协议 可 以 进行 正常 的 连通 。ping 命令 还 具有 测试 网 
络 响应 时 间 的 功能 ， 以 问答 间隔 为 标准 。 配置 管理 中 网 络 拓扑 图 的 自动 发 现 就 是 通过 ICMP 
协议 以 类 似 于 ping 命令 的 方式 完成 。 

(2) traceroute 命令 。 

traceroute 命令 用 来 测试 他 数据 包 到 达 目 的 端 经 过 的 所 有 路 由 器 的 路 径 及 连通 状况 , 它 
通过 每 一 个 路 由 器 的 响应 时 间 来 反映 速度 快慢 ， 在 测试 路 由 协议 的 配置 时 经 常 使 用 。 

(3) netstat 命令 。 

netstat 命令 是 显示 TCP/IP 协议 状态 的 命令 ， 工 作 站 中 的 网 络 问题 用 此 命令 进行 分 析 。 

(4) nslookup 命令 。 

nslookup 命令 用 于 向 DNS 服务 器 发 送 一 个 DNS 查询 ， 对 完整 的 域名 和 TCP/IP 地 址 进 
行 查询 解析 ， 然 后 显示 DNS 服务 器 的 名 称 、 地 址 和 解析 到 的 信息 。 

(5) Cisco Management Station to Device 工具 。 

如 果 一 个 设备 可 以 对 ping 或 者 traceroute 命令 进行 响应 ， 但 是 却 不 能 支持 SNMP 或 者 
其 他 第 4 层 的 应 用 ， 则 可 以 使 用 Cisco Management Station to Device 工具 来 测试 应 用 方面 的 
问题 。 这 个 工具 可 以 用 来 测试 UDP、TCP、HTTP、TFTP、Telnet 和 SNMP 的 连接 是 否 正 
常 。 对 于 UDP 和 TCP， 所 测试 的 端口 为 7， 对 于 其 他 的 协议 ， 将 测试 服务 器 一 侧 的 端口 。 
对 于 各 个 应 用 来 说 ， 这 个 工具 就 像 是 一 个 客户 端 。 为 了 取得 测试 成 功 ， 在 设备 上 必须 运行 
以 上 提 及 的 协议 , 将 之 作为 一 个 Server 例如 , 为 了 取得 HTTP 测试 的 成 功 , 需要 使 用 ip http 
server 命令 在 路 由 器 上 启动 Web 接口 。 如 果 使 用 的 是 主机 名 而 不 是 TCP/IP 地 址 ， 则 在 测试 
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之 前 将 首先 对 主机 名 进行 解析 并 将 解析 的 结果 显示 出 来 。 
(6) Network Show Command 应 用 。 
Network Show Command 应 用 是 一 个 基于 Java 的 工具 ， 通 过 这 个 工具 ， 管 理 员 可 以 定 

义 用 户 针对 其 Cisco 设备 运行 的 show 命令 列表 。Network Show Command 还 提供 了 一 个 可 

选 的 远程 控制 台 选 项 , 在 这 个 控制 台 上 ,可 以 输入 show 命令 列表 中 没有 定义 的 show 命令 。 
Network Show Command 工具 存在 的 问题 是 它 的 权限 控制 操作 十 分 复杂 , 权限 严格 限制 

了 用 户 可 以 执行 的 命令 ， 但 是 并 不 限制 它 能 够 完成 的 功能 。 当 把 Network Show Command 

工具 和 NetConfig 工具 一 起 使 用 的 时 候 ， 用户 只 有 有 限 的 特权 ， 只 能 配置 网 络 设备 上 的 某 些 

属性 ， 根 据 NetConfig 应 用 中 的 模板 来 修改 设备 的 配置 ， 这 些 模 板 是 由 管理 员 创建 的 。 用 户 

通过 Network Show Command 工具 ， 可 以 验证 NetConfig 任务 的 输出 结果 。 另 外 一 个 优点 是 

Network Show Command 工具 和 NetConfig 工具 可 以 一 次 性 对 多 个 设备 产生 影响 , 比较 高 效 。 


3. 利用 工具 监视 网 络 安全 


1) 入侵 检 测 系统 

入 侵 检 测 系统 是 近 几 年 出 现 的 新 型 网 络 安全 技术 ， 它 试图 发 现 入 侵 者 或 识别 出 对 计算 
机 的 非法 访问 行为 ， 并 对 其 进行 隔离 。 入 侵 检测 系统 能 发 现 其 他 安全 措施 无 法 发 现 的 攻击 
行为 ， 并 能 收集 可 以 用 来 诉讼 的 犯罪 证 据 。 

入 侵 检测 系统 有 两 类 : 基于 网 络 的 实时 入 侵 检测 系统 和 基于 主机 的 实时 入 侵 检测 系统 。 
目前 IDS 解决 方案 和 产品 有 很 多 种 ， 这 里 介绍 的 入 侵 检测 产品 为 Cisco 的 IDS。 

2) ”Cisco IDS 解决 方案 

考虑 到 企业 站 点 非常 复杂 ， 攻 击 技术 多 种 多 样 ， 黑 客 数量 只 增 不 减 ， 必 须 采 用 全 面 的 
解决 方案 才能 有 效 预 防 黑客 袭击 。 这 种 解决 方案 应 该 能 对 抗 多 种 攻击 技术 ， 并 防止 在 典型 
攻击 过 程 中 执行 的 恶意 操作 。 由 于 Cisco IDS 解决 方案 提供 包含 NIDS 和 HIDS 组 件 的 组 合 
解决 方案 ， 因 而 能 满足 这 个 要 求 。NIDS 主要 用 于 预防 网 络 袭 击 ， 而 HIDS 则 主要 用 于 防止 
服务 器 的 OS 操作 系统 和 应 用 遭受 袭击 。 

NIDS 检测 器 可 以 安装 在 多 个 位 置 上 ， 最 重要 的 位 置 是 防火 墙 的 前 面 ， 负 责 监控 进入 机 
构 的 通信 信息 。 另 外 ， 每 个 重要 的 网 段 都 安装 一 个 检测 器 。HIDS 首先 部 署 在 面 对 互 联网 的 
服务 器 上 ， 例 如 Web、 邮 件 和 DNS 服务 器 。 由 于 面向 互联 网 的 服务 器 与 后 端 服务 器 相连 ， 
因此 ，HIDS 也 部 署 在 公司 防火 墙 内 的 所 有 其 他 主要 服务 器 上 。 

(1) Cisco IDS 网 络 检测 器 。 

Cisco IDS 网 络 检测 器 能 够 为 网 络 设备 及 服务 器 上 的 通信 模块 提供 全 面 保护 。 其 主要 特 
性 如 下 。 

4 积极 响应 (系统 包含 对 检测 器 设备 的 主动 响应 功能 )。 

”全面 检测 网 络 裴 击 。 

4 全 面 检测 应 用 袭击 。 

4 ”以 独特 的 方式 预防 拒绝 服务 攻击 (Deny of Services，DoS)。 
先进 的 他 分 片 重 装 和 Whisker 反 IDS 检测 功能 支持 。 

Cisco IDS 主机 检测 器 。 

Cisco IDS 主机 检测 器 能 够 为 服务 器 上 运行 的 服务 器 操作 系统 和 应 用 提供 全 面 保护 。 主 
机 检测 器 安装 在 每 台 服 务 器 上 ， 用 于 保护 操作 系统 和 应 用 。 系 统 利 用 呼叫 截获 技术 提供 纯 
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主动 式 服务 器 安全 系统 。 其 主要 特性 有 以 下 几 个 。 

”现场 预防 操作 系统 和 应 用 袭击 。 
防止 缓冲 器 溢出 袭击 。 
不 断 提高 完整 性 。 
Web 服务 器 屏蔽 。 
防止 安全 套 接 层 (SSL) 加 密 的 HTTP 袭击 。 

3) ”漏洞 扫描 安全 评估 技术 

漏洞 扫描 安全 评估 技术 可 以 帮助 网 络 管理 者 对 网 络 的 安全 现状 进行 扫描 ， 并 在 发 现 漏 
洞 后 提出 具体 的 解决 办 法 。 

网 络 安全 漏洞 扫描 系统 通常 安装 在 一 台 与 网 络 有 连接 的 主机 上 。 系 统 中 配 有 一 个 信息 
库 ， 其 内 存放 着 大 量 有 关系 统 安全 漏洞 和 黑客 攻击 行为 的 数据 。 扫 描 系统 根据 这 些 信息 向 
网 络 上 的 主机 和 网 络 设备 发 送 数据 包 ， 观 察 被 扫描 的 设备 是 否 存在 与 信息 库 中 记录 的 内 容 
相 匹 配 的 安全 漏洞 。 扫 描 的 内 容 包括 主机 操作 系统 本 身 、 操 作 系统 的 配置 、 防 火 墙 配置 、 
网 络 设备 配置 以 及 应 用 系统 等 。 

通过 网 络 扫描 ， 系 统管 理 者 可 以 及 时 发 现 网 络 中 存在 的 安全 隐患 ， 并 进行 必要 的 修补 ， 
从 而 减 小 网 络 被 攻击 的 可 能 性 。 

(1) 安全 扫描 方式 。 

安全 扫描 方式 包括 直接 配置 检查 和 模拟 入 侵 两 种 。 

9 ”直接 配置 检查 :这 种 技术 的 代表 是 COPS(Computer Oracle Password and Security 

System)。COPS 从 系统 内 部 常见 的 UNIX 安全 配置 错误 与 漏洞 (如 关键 文件 权限 设 
置 、FTP 权限 与 路 径 设 置 、root 路 径 设置 、 密 码 等 ) 入 手 ， 指 出 系统 内 存在 的 安全 
问题 ， 从 而 减少 系统 可 能 被 入 侵 者 (包括 内 部 用 户 ) 利 用 的 漏洞 。 

4 ”模拟 入 侵 : 这 种 技术 模拟 入 侵 者 可 能 的 攻击 行为 ， 从 系统 外 部 进行 扫描 ， 以 探测 

是 否 存在 可 以 被 入 侵 者 利用 的 系统 安全 的 薄弱 之 处 。 其 代表 有 ISS(Internet Security 
Scanner) 和 1] SATAN(Security Analysis Tool for Auditing Network)。 

(2) 安全 扫描 工具 。 

安全 扫描 工具 通常 分 为 基于 服务 器 和 基于 网 络 的 扫描 器 。 

基于 服务 器 的 扫描 器 主要 扫描 与 服务 器 相关 的 安全 漏洞 ， 如 password 文件 、 目 录 和 文 
件 权 限 、 共 享 文件 系统 、 敏 感 服务 、 软 件 、 系 统 漏洞 等 ， 并 给 出 相应 的 解决 办 法 建议 。 该 
类 扫描 器 通常 与 相应 的 服务 器 操作 系统 紧密 相关 。 

基于 网 络 的 安全 扫描 器 主要 扫描 设 定 网 络 内 的 服务 器 、 路 由 器 、 网 桥 、 交 换 机 、 访 问 
服务 器 、 防 火 墙 等 设备 的 安全 漏洞 ， 并 可 设 定 模拟 攻击 ， 以 测试 系统 的 防御 能 力 。 通 常 该 
类 扫描 器 限制 使 用 范围 (PP 地 址 或 路 由 器 跳 数 )。 

4. 性 能 监视 的 检查 点 


网 络 性 能 包括 带宽 利用 率 、 吞 吐 率 降低 的 程度 、 通 信 繁 忙 的 程度 、 网 络 瓶颈 及 响应 时 
间 等 ， 这 些 参数 的 控制 和 优化 是 系统 管理 人 员 的 日 常 性 工作 。 性 能 指标 通过 性 能 监测 设备 
采集 并 存储 在 数据 库 中 。 数 据 库 可 以 放 在 代理 中 ， 也 可 以 放 在 管理 站 中 ， 这 取决 于 代理 和 
管理 站 的 能 力 以 及 通信 开销 的 大 小 。 


S 多 多 
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如 果 数 据 量 太 大 ， 可 以 只 存储 统计 摘要 和 趋势 分 析 的 结果 。 在 ISO 10165 一 2( 管 理 信息 
定义 ) 中 定义 的 管理 对 象 的 某 些 属性 代表 了 系统 的 性 能 参数 。 这 些 属性 如 下 所 述 。 
4 计数 器 (CounteD。 计 数 器 的 特点 是 初始 值 为 零 ， 其 值 只 能 增加 不 能 减少 ， 增 加 到 
最 大 值 时 归 零 。 它 的 应 用 很 广泛 ， 例 如 ， 可 以 用 来 表示 工作 站 接收 的 分 组 数 。 
。 计量 器 (Gauge)。 与 计数 器 不 同 ， 计 量 器 的 值 可 增加 也 可 减少 ， 达 到 最 大 值 时 不 归 
零 ， 而 是 不 再 增加 ， 但 可 以 减少 。 例 如 ， 可 以 用 它 表示 网 络 层 实体 管理 的 队列 
长 度 。 
。 ” 阅 值 (Threshold)。 闹 值 可 用 于 计数 器 或 计量 器 。 当 计数 器 的 值 达 到 某 个 闹 值 时 管理 
对 象 要 发 出 通知 。 计 量 器 的 阔 值 有 两 个 ， 分 别 是 上 限 和 下 限 ， 并 且 仅 当 被 监视 的 
量 的 变化 经 过 上 /下 限时 ， 管 理 对 象 才 发 出 报警 通知 。 
4 涨潮 点 (Tidemark)。 涨潮 点 是 指 计量 器 的 最 低 点 或 最 高 点 。 涨潮 点 的 属性 有 3 个 值 ， 
即 当前 值 、 最 近 一 次 复位 之 前 的 值 和 最 近 复 位 的 时 间 等 。 后 两 个 值 可 用 来 计算 潮 
汐 的 大 小 和 到 达 涨 潮 点 的 时 间 。 
5. 系统 性 能 分 析 
性 能 分 析 功 能 要 完成 以 下 任务 。 
。 对 监测 到 的 性 能 数据 进行 统计 和 计算 ， 获 得 网 络 及 其 主要 元 素 的 性 能 指标 ， 定 期 
产生 性 能 报表 。 
4 ”负责 维护 性 能 MIB， 存 储 网 络 及 其 主要 元 素性 能 的 历史 数据 。 
。 根据 当前 数据 和 历史 数据 对 网 络 及 其 主要 元 素 的 性 能 进行 分 析 ， 获 得 性 能 的 变化 
趋势 ， 分 析 制约 网 络 性 能 的 瓶颈 问题 。 
4 在 网 络 性 能 异常 的 情况 下 向 网 络 管理 者 进行 警告 ， 在 特殊 情况 下 ， 直 接 启动 故障 
管理 功能 进行 反应 。 
性 能 分 析 的 基础 是 建立 和 维护 一 个 有 效 的 性 能 MIB。 在 此 基础 上 ， 要 解决 的 关键 问题 
是 设计 和 构造 有 效 的 性 能 分 析 方法 。 传 统 的 方法 是 基于 解析 的 方法 。 
解析 的 方法 又 分 为 预测 法 和 和 解释 法 两 种 。 预 测 法 是 根据 网 络 的 结构 以 及 各 个 网 络 元 素 
的 性 能 ， 推 测 网 络 的 总 体 性 能 的 方法 。 解 释 法 是 从 网 络 的 结构 以 及 观测 到 的 总 体 性 能 出 发 ， 
推测 各 个 网 络 元 素性 能 的 方法 。 由 于 解析 的 方法 具有 局 限 性 ， 因 此 对 于 比较 复杂 的 关系 难 
以 迅速 得 到 正确 结果 。 
现在 ， 基 于 人 工 智能 的 网 络 性 能 分 析 方法 越 来 越 受到 重视 。 在 这 种 方法 中 ， 一 般 利用 
专家 系统 对 网 络 性 能 进行 分 析 ， 提 高 了 分 析 的 水 平和 速度 。 
6. 安全 监视 的 检查 点 


安全 管理 的 目的 是 提供 信息 的 保密 、 认 证 和 完整 性 保护 机 制 ， 使 网 络 中 的 服务 、 数 据 
以 及 系统 免 受 侵扰 和 破坏 。 目 前 采用 的 网 络 安全 措施 主要 包括 通信 伙伴 认证 、 访 问 控制 、 
数据 保密 和 数据 完整 性 保护 等 。 一 般 的 安全 管理 系统 包含 风险 分 析 功 能 ， 安 全 服务 功能 ， 
报警 、 日 志和 报告 功能 ， 网 络 管理 系统 保护 功能 等 。 

需要 明确 的 是 ， 安 全 管理 系统 并 不 能 杜绝 所 有 对 网 络 的 侵扰 和 破坏 ， 其 作用 仅 在 于 最 
大 限度 地 防范 ， 以 及 在 受到 侵扰 和 破坏 后 将 损失 尽量 降低 。 具 体 地 说 ， 安 全 管理 系统 的 主 
要 作用 有 以 下 几 点 。 
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4 ”采用 多 层 防 卫 手 段 ， 将 受到 侵扰 和 破坏 的 概率 降 到 最 低 。 

4 ”提供 迅速 检测 非法 使 用 和 非法 入 口 的 手段 ， 核 查 跟踪 侵入 者 的 活动 。 
4 

4 


提供 恢复 被 破坏 的 数据 和 系统 的 手段 ， 尽 量 降低 损失 。 
提供 查获 侵入 者 的 手段 。 


1.5.1.4 故障 恢复 分 析 
1. 故障 分 析 要 点 


故障 定位 是 在 一 个 给 定 的 系统 中 检测 、 隔 离 和 修理 故障 的 过 程 。 

一 个 网 络 是 一 个 动态 系统 ， 对 于 一 个 动态 的 系统 而 言 ， 故 障 定位 的 主要 挑战 在 于 ， 如 
何在 许 许多 多 的 部 件 中 隔离 出 故障 部 件 。 有 经 验 的 故障 定位 人 员 和 网 络 技术 人 员 遵循 一 套 
精心 设计 的 过 程 来 诊断 一 个 问题 的 来 源 。 

进行 故障 定位 所 遵循 的 规则 实际 上 是 在 基于 一 些 常识 的 基础 上 进行 的 ， 例 如 ; 

4 确定 问题 的 实际 性 质 。 

4 隔离 问题 的 原因 。 

4 解决 问题 。 

“确定 一 隔离 一 解决 ”这 3 个 步骤 在 大 部 分 网 络 中 都 能 够 成 功 地 黄 定 对 问题 故障 定位 
的 基础 ， 如 图 1-15 所 示 。 


确定 问题 ”识别 故障 现象 


列举 可 能 的 错误 ， 形 成 一 个 假设 


验证 该 假设 
隔离 问题 否 
假设 正确 否 ? 
是 


图 1-15 诊断 网 络 问题 的 循环 过 程 


1) ”识别 故障 现象 

知道 出 了 问题 并 能 够 避免 ， 是 进行 成 功 故障 定位 最 重要 的 步骤 。 大 部 分 网 络 问题 是 通 
过 某 些 现象 表现 出 来 的 。 所 以 在 遇 到 问题 时 ， 要 想 高 效 地 解决 问题 ， 首 先 必须 能 对 问题 进 
行 定位 ， 这 就 需要 设法 收集 一 些 与 问题 有 关 的 线索 。 需 要 强调 的 一 点 是 ， 在 确定 问题 的 实 
际 性 质 之 前 ， 必 须知 道 系 统 的 正常 运行 特性 ( 即 基线 )。 

2) ”对 故障 现象 进行 详细 描述 

如 果 得 到 一 个 差错 消息 ， 应 将 屏幕 显示 的 内 容 记录 下 来 ， 并 将 该 差错 信息 写 到 一 个 网 
络 差错 日 志 中 。 差 错 消息 的 内 容 以 及 差错 显示 的 位 置 (是 显示 在 服务 器 上 还 是 显示 在 客户 机 
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上 ) 信 息 ， 对 于 判断 该 差错 发 生 的 位 置 是 一 个 重要 的 线索 。 

所 以 ， 一 定 要 在 网 络 配置 日 志 中 对 每 个 硬件 和 软件 的 改变 做 详细 的 记录 。 一 旦 把 能 
观察 到 的 一 切 现象 都 收集 到 了 ， 就 可 以 依赖 经 验 形成 一 个 假设 。 

3) “列举 可 能 的 错误 并 形成 假设 

列举 出 所 有 可 能 导致 被 监测 到 的 故障 现象 ， 然 后 利用 有 效 的 工具 剔除 各 种 可 能 的 误 报 
故障 ， 根 据 最 终结 果 形 成 一 个 关于 故障 的 假设 。 

在 故障 定位 中 ， 经 验 和 专门 知识 是 非常 有 用 的 。 为 了 使 假设 与 这 些 现象 相 一 致 ， 必 须 
熟悉 网 络 问题 的 类 型 ， 才 能 从 正常 出 现 的 网 络 问 题 中 分 辨 出 这 些 故障 现象 ， 同 时 也 需要 深 
入 理解 运行 在 该 网 络 上 的 相关 协议 和 应 用 程序 。 

4) ”隔离 问题 的 来 源 

确定 问题 可 能 的 来 源 后， 应 该 针对 不 同 原因 分 别 进行 测试 。 当 决定 这 样 做 时 ， 应 当 能 
够 确定 假设 的 正确 性 。 

5) ”验证 假设 
可 以 使 用 几 种 方法 来 验证 假设 的 正确 性 。 专 家 们 经 常 使 用 的 一 种 方法 是 “替换 法 ”， 
即 用 可 以 正常 工作 的 类 似 部 件 来 蔡 代 怀疑 存在 问题 的 部 件 。 在 熟悉 每 个 部 件 的 性 能 以 及 它 
们 可 能 引起 的 后 果 时 ， 使 用 这 个 方法 比较 有 效 。 

6) 得 出 结论 

针对 每 个 假设 进行 的 实验 ， 必 须 确定 该 假设 是 否 正 确 。 如 果 问 题 依然 存在 ， 则 可 判断 
该 假设 是 不 正确 的 。 如 果 问 题 已 经 解决 了 ， 则 表明 已 经 找到 了 问题 的 根源 。 其 中 最 麻烦 的 
一 种 情况 是 ， 当 替换 掉 部 件 之 后 ， 问 题 依然 存在 ， 但 外 在 表现 形式 却 不 同 。 随 着 积累 的 经 
验 越 来 越 多 ， 将 逐渐 知道 对 于 每 个 可 能 的 实验 的 结果 ， 其 结论 会 是 什么 。 对 于 一 个 具有 可 
能 不 熟悉 的 测试 结果 的 实验 ， 应 该 扩展 或 修订 关于 该 问题 的 方法 ， 从 而 能 够 更 好 地 将 所 观 
察 到 的 测试 结果 与 收集 到 的 现象 联系 在 一 起 。 

故障 的 定位 过 程 是 一 个 循环 的 过 程 。 如 果 一 个 测试 的 结果 没有 得 出 结论 ， 必 须 重 新 详 
细 地 分 析 该 问题 所 表现 出 的 现象 ， 从 而 形成 新 的 假设 。 在 大 多 数 情况 下 ， 需 要 在 重新 检查 
该 现象 之 前 ， 变 换 一 下 该 问题 的 环境 。 

7) ”解决 问题 

一 旦 隔离 出 所 有 故障 的 部 件 后 ， 必 须 对 此 故障 进行 修复 。 围 绕 有 问题 的 部 件 进行 修理 、 
更 换 或 处 理 。 对 于 有 故障 的 硬件 ， 唯 一 的 选择 就 是 修理 或 更 换 该 部 件 。 对 于 软件 ， 通 常 可 
以 通过 重新 安装 或 删除 来 修复 该 问题 。 

2. 网 络 监 视 器 

一 旦 发 现 了 用 户 错误 或 物理 连接 问题 (包括 网 线 损坏 )， 一 些 网 络 监控 工具 (包括 网 络 监 
视 器 和 分 析 仪 ) 就 会 帮助 分 析 网 络 流量 、 捕 捉 和 分 析 网 络 上 的 数据 ,进行 一 个 更 深入 的 分 析 。 
网 络 监视 器 是 一 个 基于 软件 的 工具 ， 它 可 以 在 连 到 网 络 上 的 一 台 服 务 器 或 工作 站 上 持 
续 监 测 网 络 流量 。 网 络 监视 器 一 般 工 作 在 OSI 模型 的 第 三 层 ， 可 以 检测 出 每 个 包 使 用 的 协 
议 ， 但 是 不 能 破译 包 里 的 数据 。 

网 络 分 析 仪 是 一 个 便携 的 、 基 于 硬件 的 工具 。 网 络 管理 员 把 它 连 入 网 络 ， 专 门 用 来 解 
决 网 络 问题 。 网 络 分 析 仪 可 以 破译 直到 OSI 模型 第 七 层 的 数据 ， 例 如 ， 分 析 仪 可 以 辨别 一 
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个 使 用 TCP/PP 的 包 ， 甚 至 可 以 辨别 它 是 从 特定 工作 站 到 服务 器 的 ARP 应 答 信号 。 分 析 仪 
可 以 破译 包 的 负载 率 ， 把 它 从 二 进 制 码 转换 为 易 读 的 十 进 制 或 十 六 进 制 码 ， 因 此 ， 网 络 分 
析 仪 可 以 捕获 运行 于 网 络 上 的 密码 (只 要 它们 的 传输 不 是 加 密 的 )。 一 些 网 络 测试 仪 软件 包 可 
以 在 标准 PC 上 运行 ， 但 有 的 需要 在 带 特殊 网 络 接口 卡 和 操作 系统 软件 的 PC 上 运行 。 

网 络 监视 工具 通常 比 网 络 分 析 仪 便宜 ， 并 且 可 能 包含 在 网 络 操作 系统 软件 中 ， 下 面 介 
绍 其 中 的 两 种 : Microsoft 的 Network Monitor( 附 于 Windows NT Server Version 4.0 及 以 后 系 
统 ) 和 Novell 的 LANalyzer agent( 附 于 NovelP's manage wise software package)。 其 他 的 产品 有 
类 似 的 工作 方式 ， 大 多 数 甚 至 使 用 非常 相似 的 图 形 界面 。 

注意 : 为 了 利用 基于 软件 的 网 络 监视 器 和 分 析 仪 ， 计 算 机 上 的 网 络 接口 卡 必须 支持 随 
机 模式 。 随 机 模式 是 指 设备 驱动 程序 引导 网 络 接口 卡 接收 流 过 网 络 的 所 有 帧 ， 不 光 是 指向 
该 节点 的 帧 。 

1) “微软 的 网 络 监视 器 

Network Monitor(NetMon) 是 基于 软件 的 且 内 置 于 Windows NT Server 4.0 或 者 Microsoft 
的 Systems Management Server(SMS) 的 网 络 监视 软件 。 它 提供 以 下 功能 。 

4 ”从 一 段 或 几 段 网 络 中 捕获 传输 数据 。 
捕获 来 /去 特殊 节点 的 帧 。 
通过 发 送 指定 数量 和 类 型 的 数据 重 现 网 络 状态 。 
检测 在 网 络 上 NetMon 的 其 他 运行 副本 (依赖 于 路 由 器 的 位 置 和 配置 )。 
产生 网 络 活动 的 参数 。 

NetMon 最 有 用 的 能 力 是 捕获 网 络 上 传输 的 数据 ，NetMon 观察 网 络 一 段 时 间 后 ， 捕 获 
通过 特定 网 络 的 数据 (因为 NetMon 利用 随机 模式 ， 它 捕获 所 有 的 数据 ， 不 仅仅 是 来 /去 
NetMon 控制 台 的 数据 )。 然 后 ， 可 以 在 NetMon 中 找 出 错误 的 帧 ， 按 照 每 个 节点 产生 坏 数据 
的 多 少 按 从 大 到 小 的 顺序 排序 ， 一 般 在 队列 最 前 边 的 工作 站 就 是 问题 所 在 ， 在 网 络 传输 中 ， 
它 产 生 了 比 其 他 节点 多 得 多 的 坏 数据 包 。 

2) ”Novell 的 网 络 分 析 仪 

Novell 提供 了 一 个 和 Microsoft 的 Network Monitor 相似 的 网 络 监视 工具 一 一 LANalyzer 
代理 ， 它 可 作为 一 个 独立 的 程序 工作 于 Windows 工作 站 或 作为 Manage Wise 的 一 部 分 在 
Netware 服务 器 上 装配 网 络 管理 工具 。LANalyzer 具有 如 下 功能 。 

4 ”能 发 现 网 段 上 几乎 所 有 的 网 络 节点 。 

4 ”连续 监测 网 络 流量 。 

《* 当 流 量 达到 预定 的 阔 值 时 报警 (例如 利用 率 超过 70%)。 

4 捕获 来 (或 去 ) 所 有 (或 选 定 ) 节 点 的 流量 。 

像 Network Monitor 一 样 ，LANalyzer 能 按 节 点 捕获 流量 和 辨别 错误 数据 ， 按 网 段 产 生 
流量 参数 ; 另外 , 作为 Manage Wise 的 套件 , LANalyzer 能 在 特定 的 网 段 上 发 现 所 有 的 节点 。 
它 可 以 利用 这 些 数据 构造 网 络 管理 系统 ， 这 个 网 络 管理 系统 不 仅 可 以 收集 信息 (例如 ， 发 现 
一 个 用 户 在 某 一 特定 的 工作 站 上 登录 的 次 数 ， 记 录 工 作 站 通 向 服务 器 申请 程序 的 类 型 )， 而 
且 可 以 提供 实时 的 网 络 参 数 ， 当 达到 网 络 阔 值 时 发 送 提示 信息 或 发 出 警告 声音 。 


人 @ 9 多 
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3. 网 络 分 析 软件 


除了 利用 随同 网 络 操作 系统 的 软件 ， 还 可 以 从 专门 从 事 网 络 管理 的 提供 商 那里 购买 网 
络 分 析 软 件 。 一 个 典型 的 例子 是 网 络 联盟 的 NetXRay， 这 个 网 络 分 析 软 件 提供 数据 捕获 、 
分 析 、 发 现 节 点 、 流 量 转向 、 记 录 、 报 警 和 利用 率 预 测 。NetXRay 与 Network Monitor 和 
LANalyzer 有 相同 的 特征 ， 同 时 又 增加 了 一 些 附属 物 ， 它 也 可 以 为 了 重 现 网 络 故 障 而 产生 流 
量 和 同时 监测 多 个 网 络 段 ， 其 图 形 界面 使 这 个 产品 使 用 方便 ， 显 示 网 络 流量 的 可 读 性 强 。 
NetXRay 支持 多 协议 和 网 络 拓扑 结构 。 

另外 ， 网 络 联盟 还 牵头 开发 了 基于 硬件 的 网 络 分 析 仪 ， 叫 作 探 测 器 (SniffeD。 探 测 器 通 
常 是 装配 了 特殊 的 网 络 接口 卡 和 网 络 分 析 软 件 的 便携 式 电脑 。 探 测 器 的 基本 工作 是 分 析 网 
络 问题 。 探 测 器 提供 了 它 所 能 捕获 到 的 大 量 的 各 种 类 型 和 深度 的 信息 。 用 这 种 类 型 工具 的 
危险 是 它 可 能 收集 了 超过 计算 机 所 能 处 理 的 信息 ， 为 了 避免 这 个 问题 ， 应 该 为 收集 到 的 数 
据 设置 过 滤器 。 

如 果 一 个 网 络 是 全 部 交换 的 ( 即 每 个 节点 连接 到 自己 的 交换 端口 ), 则 网 络 分 析 仪 只 能 捕 
获 到 广播 的 包 和 目的 地 址 为 正 运行 软件 的 节点 的 包 ， 因 为 在 交换 环境 下 ， 只 有 这 些 数据 包 
才能 传输 到 目的 地 址 。 交 换 机 的 使 用 使 网 络 监视 更 加 困难 ， 解 决 方 案 是 重新 配置 交换 机 以 
重新 选择 路 由 ， 这 样 网 络 分 析 仪 才能 接收 到 所 有 的 流量 。 显 然 ， 应 该 权衡 一 下 重新 配置 引 
起 的 破坏 性 和 潜在 的 好 处 (能 够 分 析 网 络 流量 和 排除 故障 )。 

4. 排除 故障 要 点 


网 络 故障 排除 应 按照 规定 的 步骤 进行 ， 这 样 可 以 节省 时 间 和 经 费 (譬如 不 必要 的 软件 、 
硬件 蔡 换 等 )。 
1) ”网 络 排 错 的 步 又 
网 络 排 错 的 步骤 如 下 。 

(1) 认 清 症状 。 

(2) 验证 用 户 权 限 。 例 如 ， 确 保 用 户 正 确 地 输入 了 口令 。 

(3) 限定 问题 的 范围 。 它 是 全 局 性 的 吗 ? 即 网 上 的 所 有 用 户 总 是 会 碰 到 这 个 问题 吗 ? 
或 者 问题 只 发 生 在 网 络 上 某 一 地 理 区 域 、 某 一 特定 的 工作 组 、 某 一 特定 的 时 间 段 ? 换 句 话 
说 ， 这 问题 是 属于 地 区 性 的 、 工 作 组 性 的 还 是 时 间 相 关 的 ? 

(4) 重 现 故 障 ， 并 且 要 保证 能 够 可 靠 地 重新 产生 这 个 错误 。 

(5) 验证 网 络 物理 连接 (例如 网 络 连 线 、 网 络 接口 卡 的 插 槽 、 供 电 电源 ) 的 完整 性 。 从 受 
到 影响 的 节点 开始 ， 向 主干 网 延伸 。 

(6) 验证 网 络 的 软 连接 问题 (例如 地 址 、 协 议 绑 定 、 软 件 安装 等 )。 

(7) 考虑 最 近 的 网 络 变更 和 可 能 因此 导致 的 网 络 问题 。 

(8) 实施 解决 方案 。 

(9) 检验 解决 方案 。 

根据 自己 的 观察 ， 可 以 从 上 述 步 又 中 的 一 步 跳 到 另 一 步 ， 以 减少 所 执行 的 检查 步骤 。 

2) ”故障 查找 注意 事项 

由 于 以 太 网 采用 通用 总 线 拓扑 结构 以 及 物理 层 可 扩展 的 潜在 问题 ， 所 以 某 个 特定 物理 
层 的 问题 会 以 不 同 的 方式 显示 出 来 ， 而 且 由 于 采用 的 测试 手段 、 位 置 和 环境 不 同 ， 显 示 出 
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的 现象 还 常常 相互 矛 盾 。 

为 了 避免 被 假象 所 误导 ， 可 以 按照 以 下 两 个 步骤 查找 故障 。 

(1) 沿 网 段 多 做 几 次 测试 。 

如 果 故 障 现象 随 测试 点 的 不 同 还 保持 一 样 ， 就 可 以 依照 所 测试 出 的 故障 现象 去 排除 。 
如 果 故 障 现象 在 一 些 或 所 有 的 测试 点 都 不 相同 ， 就 要 把 查找 故障 的 方向 定 在 物理 层 (除非 有 
特别 提示 )， 例 如 ， 查 找 坏 的 电线、 噪声 环境 、 接 地 循环 等 故障 。 

(2) 要 提高 测试 质量 。 

在 测试 的 同时 要 把 测试 仪器 设置 成 至 少 可 同时 发 送 较 低 的 流量 。 由 于 增加 了 网 络 流量 ， 
微小 的 和 间歇 性 的 物理 层 问题 就 会 暴露 出 来 。 

5. 网 络 故障 诊断 和 排队 


网 络 中 可 能 出 现 的 故障 多 种 多 样 ， 解 决 一 个 复杂 的 网 络 故障 往往 需要 广泛 的 网 络 知识 
与 丰富 的 工作 经 验 。 这 也 是 为 什么 一 个 成 熟 的 网 络 管理 机 构 制 定 有 一 整套 完备 的 故障 管理 
日 志 记 录 机 制 ， 同 时 人 们 也 率先 把 专家 系统 和 人 工 智能 技术 引进 到 网 络 故障 管理 中 来 的 原 
因 。 另 外 ， 由 于 网 络 故障 的 多 样 性 和 复杂 性 ， 网 络 故障 的 分 类 方法 也 不 尽 相同 。 

1) “按照 故障 性 质 分 类 

根据 网 络 故障 的 性 质 可 以 把 故障 分 为 物理 故障 与 逻辑 故障 。 

(1) 物理 故障 。 物 理 故障 是 指 设备 或 线路 损坏 、 插 头 松动 、 线 路 受到 严重 电磁 干扰 等 
的 情况 。 比 如 ， 网 络 中 某 条 线路 突然 中 断 ， 这 时 网 络 管理 人 员 从 监控 界面 上 会 发 现 该 线路 
流量 陡然 下 降 或 系统 弹出 报警 界面 ， 此 时 首先 用 ping 检查 线路 在 网 络 管理 中 心 的 端口 是 否 
连通 。 如 果 不 连 通 ， 则 检查 端口 插头 是 否 松动 ， 如 果 松 动 则 插 紧 ， 再 用 ping 检查 ， 如 果 连 
通则 故障 解决 。 这 时 需 把 故障 的 特征 及 其 解决 步骤 详细 记录 下 来 。 也 有 可 能 是 线路 远离 网 
络 管理 中 心 的 那 端 插头 松动 ， 此 时 则 需要 通知 对 方 进行 解决 。 另 一 种 常见 的 物理 故障 就 是 
网 络 插头 误 接 。 这 种 情况 经 常 是 在 没有 搞 清 网 络 插头 规范 或 没有 和 弄 清 网 络 拓 扑 规划 的 情况 
下 导致 的 。 另 一 种 情况 ， 比 如 两 个 路 由 器 直接 连接 ， 这 时 应 该 让 一 台 路 由 器 的 出 口 连 接 另 
一 台 路 由 器 的 入 口 ， 而 这 台 路 由 器 的 入 口 连 接 另 一 台 路 由 器 的 出 口才 行 ， 这 时 制作 的 网 线 
就 应 该 满足 这 一 特性 ， 和 否则 也 会 导致 网 络 误 接 。 不 过 像 这 种 网 络 连接 故障 显得 很 隐蔽 ， 要 
诊断 这 种 故障 没有 什么 特别 好 的 工具 ， 只 能 依靠 经 验 。 

(2) 逻辑 故障 。 逻 辑 故障 中 的 一 种 常见 情况 是 配置 错误 ， 就 是 指 因为 网 络 设备 的 配置 
原因 而 导致 的 网 络 异常 或 故障 。 配 置 错误 可 能 是 路 由 器 端口 参数 设 定 有 误 ， 或 路 由 器 的 路 
由 配置 错误 以 至 于 路 由 循环 或 找 不 到 远程 地 址 ， 或 者 是 网 络 掩 码 设置 错误 等 。 比 如 ， 同 样 
是 网 络 中 某 条 线路 故障 ， 发 现 该 线 没有 流量 ， 但 又 可 以 ping 通 线路 两 端的 端口 ， 这 时 很 可 
能 就 是 路 由 配置 错误 导致 循环 了 。 诊 断 该 故障 可 以 用 traceroute 工具 ,可 以 发 现在 traceroute 
的 结果 中 某 一 段 之 后 ， 两 个 他 地 址 循环 出 现 。 这 时 ， 一 般 就 是 线路 远 端 把 端口 路 由 又 指向 
了 线路 的 近 端 , 导致 他 地 址 在 该 线路 上 来 回 反 复 传递 。 这 时 需要 更 改 远 端 路 由 器 端口 配置 ， 
把 路 由 设置 为 正确 配置 ， 就 能 恢复 线路 了 。 当 然 处 理 该 故障 的 所 有 动作 都 要 记录 在 日 志 中 。 
逻辑 故障 中 另 一 类 故障 就 是 一 些 重要 进程 或 端口 关闭 ， 以 及 系统 的 负载 过 高 。 比 如 ， 
路 由 器 的 SNMP 进程 意外 关闭 或 死 掉 ， 这 时 网 络 管理 系统 将 不 能 从 路 由 器 中 采集 到 任何 数 
据 ， 因 此 网 络 管理 系统 失去 了 对 该 路 由 器 的 控制 。 还 有 ， 就 是 线路 中 断 ， 没 有 流量 ， 这 时 
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用 ping 发 现 线路 近 端 端口 ping 不 通 ， 检 查 发 现 该 端口 处 于 down 的 状态 ， 就 是 说 该 端口 已 
经 关闭 了 ， 因 此 导致 了 故障 。 这 时 只 需 重新 启动 该 端口 ， 就 可 以 恢复 线路 的 连通 了 。 

2) ”按照 故障 对 象 分 类 

根据 故障 的 不 同 对 象 可 将 网 络 故障 划分 为 线路 故障 、 路 由 器 故障 和 主机 故障 。 

(1) 线路 故障 。 线 路 故障 最 常见 的 情况 就 是 线路 不 通 。 诊 断 这 种 故障 可 用 ping 检查 线 
路 远 端 的 路 由 器 端口 是 否 还 能 响应 ， 或 检测 该 线路 上 的 流量 是 否 还 存在 。 

一 旦 发 现 远 端 路 由 器 端口 不 通 ， 或 该 线路 没有 流量 ， 则 表示 该 线路 可 能 出 现 了 故障 。 
这 时 有 几 种 处 理 方法 。 

首先 是 ping 线路 两 端的 路 由 器 端口 ， 检 查 两 端的 端口 是 否 关闭 了 。 如 果 其 中 一 端 端口 
没有 响应 ， 则 可 能 是 路 由 器 端口 故障 。 如 果 是 近 端 端口 关闭 ， 则 可 检查 端口 插头 是 否 松动 ， 
路 由 器 端口 是 否 处 于 down 的 状态 ; 如 果 是 远 端 端口 关闭 ， 则 要 通知 线路 对 方 进行 检查 。 进 
行 这 些 故障 处 理 之 后 ， 线 路 往往 就 通畅 了 。 

如 果 线 路 仍然 不 通 ， 一 种 可 能 就 是 通知 线路 的 提供 商检 查 线路 本 身 的 情况 ， 看 是 否 线 
路 中 间 被 切断 等 。 另 一 种 可 能 就 是 路 由 器 配置 出 错 ， 比 如 路 由 循环 了 。 就 是 远 端 端口 路 由 
又 指向 了 线路 的 近 端 ， 这 样 线路 远 端 连接 的 网 络 用 户 就 不 通 了 ， 这 种 故障 可 以 用 traceroute 
来 诊断 。 解 决 路 由 循环 的 方法 就 是 重新 配置 路 由 器 端口 的 静态 路 由 或 动态 路 由 。 

(2) 路 由 器 故障 。 事 实 上 ， 线 路 故障 中 很 多 情况 都 涉及 路 由 器 ， 因 此 也 可 以 把 一 些 线 
路 故障 归结 为 路 由 器 故障 。 但 线路 涉及 两 端的 路 由 器 ， 因 此 在 考虑 线路 故障 时 要 涉及 多 个 
路 由 器 。 而 有 些 路 由 器 故障 仅仅 涉及 它 本 身 ， 这 些 故 障 比较 典型 的 就 是 路 由 器 CPU 温度 过 
高 、CPU 利用 率 过 高 和 路 由 器 内 存 余 量 太 小 。 其 中 最 危险 的 是 路 由 器 CPU 温度 过 高 ， 因 为 
这 可 能 导致 路 由 器 被 烧毁 。 而 路 由 器 CPU 利用 率 过 高 和 路 由 器 内 存 余 量 太 小 都 将 直接 影响 
网 络 服务 的 质量 ， 比 如 路 由 器 上 的 丢 包 率 就 会 随 内 存 余 量 的 下 降 而 上 升 。 

检测 这 种 类 型 的 故障 , 需要 利用 MIB 变量 浏览 器 工具 ， 从 路 由 器 MIB 变量 中 读 出 有 关 
的 数据 。 通 常情 况 下 ， 网 络 管理 系统 有 专门 的 管理 进程 不 断 地 检测 路 由 器 的 关键 数据 ， 并 
及 时 给 出 报警 。 而 解决 这 种 故障 ， 只 有 对 路 由 器 进行 升级 、 扩 内 存 等 ， 或 者 重新 规划 网 络 
的 拓扑 结构 。 另 一 种 路 由 器 故障 就 是 自身 的 配置 错误 ， 比 如 配置 的 协议 类 型 不 对 、 配 置 的 
端口 不 对 等 。 这 种 故障 比较 少见 ， 没 有 什么 特别 的 发 现 方法 ， 排 除 故障 就 与 网 络 管理 人 员 
的 经 验 有 关 了 。 
(3) 主机 故障 。 主 机 故障 常见 的 现象 就 是 主机 的 配置 不 当 。 比 如 ， 主 机 配置 的 下 地 址 
与 其 他 主机 冲突 ， 或 他 地址 根本 就 不 在 子 网 范围 内 ， 这 将 导致 该 主机 不 能 连通 。 还 有 一 些 
服务 的 设置 故障 ， 比 如 邮件 服务 器 设置 不 当 导致 不 能 收发 E-mail， 或 者 DNS 服务 器 设置 不 
当 将 导致 不 能 解析 域名 。 主 机 故障 的 另 一 种 可 能 是 主机 安全 故障 ， 比 如 主机 没有 控制 其 上 
的 finger、rpe 和 rlogin 等 多 余 服务 。 而 恶意 攻击 者 可 以 通过 这 些 多 余 进程 的 正常 服务 或 错 
误 (Bug) 攻 击 该 主机 ， 甚 至 得 到 该 主机 的 超级 用 户 权限 等 。 

另外 ， 还 有 一 些 其 他 的 主机 故障 ， 比 如 共享 本 机 硬盘 不 当 等 ， 将 导致 恶意 攻击 者 非法 
利用 该 主机 的 资源 。 发 现 主机 故障 是 一 件 困难 的 事情 ， 特 别 是 别人 恶意 的 攻击 。 一 般 可 以 
通过 监视 主机 的 流量 、 扫 描 主机 端口 和 服务 来 防止 可 能 的 漏洞 。 当 发 现 主机 受到 攻击 之 后 ， 
应 立即 分 析 可 能 的 漏洞 ， 并 加 以 预防 ， 同 时 及 时 通知 网 络 管理 人 员 注 意 。 


第 1 章 网 络 系统 规划 和 设计 


6. 故障 报告 拣 写 要 点 
网 络 出 现 故 障 问题 长 期 解决 不 了 ， 就 要 建立 一 个 单独 文档 记录 所 有 的 发 现 问题 、 解 决 
问题 的 信息 。 这 个 问题 档案 的 序号 要 记录 到 工作 日 志 中 以 便 交叉 查询 ， 项 目 结束 后 它 应 当 
记录 了 很 多 问题 以 及 解决 问题 所 需要 的 技术 信息 。 
故障 报告 是 反映 网 络 系统 出 现 故 障 情况 及 解决 方法 的 文档 ， 文 档 可 以 只 是 简单 的 文本 
形式 ， 一 页 通常 记录 一 个 问题 ; 可 以 使 用 数据 库 ， 这 样 便于 交叉 查找 。 表 1-3 所 示 为 故障 报 
告 的 一 个 简单 样本 ， 建 立 它 或 使 用 它 都 非常 节省 时 间 。 
表 1-3 故障 报告 样本 


关键 操作 参考 ; 


项 目 结束 后 ， 这 份 文档 要 加 入 历史 文档 ， 供 其 他 项 目 或 其 他 组 织 使 用 。 经 常 做 这 样 的 
工作 ， 测 试 的 成 本 就 会 随 项 目的 不 断 进 行 而 下 降 。 

1.5.1.5 危害 安全 的 对 策 

1. 危害 安全 情况 分 析 


风险 分 析 是 安全 管理 系统 需要 提供 的 一 个 重要 功能 。 它 要 连续 不 断 地 对 网 络 中 的 消息 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


和 事件 进行 检测 ， 对 系统 受到 侵扰 和 破坏 的 风险 进行 分 析 。 风 险 分 析 必须 包括 网 络 中 所 有 
有 关 的 成 分 。 

进行 风险 分 析 的 一 个 方法 是 构造 威胁 矩阵 ， 显 示 各 个 部 分 潜在 的 非 攻 击 性 或 攻击 性 威 
胁 。 表 1-4 给 出 了 一 个 威胁 矩阵 的 例子 。 


表 1-4 威胁 矩阵 示例 


非 攻 击 性 威胁 
威胁 对 象 
端点 用 户 H M 
电费 M M 
电费 瑟 L 
地 网 
电费 H H 
、 微波 H H 
和 光缆 EE L 
卫星 M M 
操作 系统 | 工 L 
软件 “| 数据 库 E i 
应 用 


注 : 表 中 瑟 表 示 高 度 威胁 ，M 表示 中 度 威胁 ，L 表示 低 度 威胁 。 


通常 ， 非 攻击 性 威胁 包括 以 下 几 个 。 

8 盗 听 通话 。 目 的 是 识别 通话 双方 ， 获 取 秘密 信息 。 

4 盗 听 数据 。 目 的 是 获取 口令 等 秘密 信息 。 

4 ”分 析 业 务 流 。 获 取 业 务 量 特征 ， 以 便 进一步 进行 侵扰 破坏 。 

在 大 多 数 情况 下 ， 非 攻击 性 威胁 是 可 以 防范 的 ， 而 攻击 性 威胁 却 不 能 完全 防范 ， 常 常 
会 引起 较 严重 的 后 果 。 攻 击 性 威胁 包括 以 下 几 个 。 

4 ， 重复 信息 。 重 复 或 阻 延 信息 的 传送 ， 以 迷惑 和 干扰 信息 的 接收 者 。 
插入 信息 。 插 入 或 删除 传输 中 的 信息 ， 使 信息 接收 者 产生 错误 的 反应 。 
拥塞 网 络 。 通 过 播放 大 量 的 信息 拥塞 传输 系统 ， 阻 止 网 络 中 信息 的 正常 传送 。 
修改 信息 。 对 关键 数据 (如 账号 ) 进 行 修改 ， 引 起 网 络 管理 的 混乱 。 
伪造 身份 。 使 用 伪造 的 身份 标识 进入 网 络 ， 访 问 无 权 访问 的 信息 ， 进 行 非 法 操作 。 

网 络 可 以 采用 的 安全 服务 多 种 多 样 ， 但 是 没有 哪 一 个 服务 能 够 抵御 所 有 的 侵扰 和 破坏 ， 
只 能 通过 对 多 种 服务 进行 合理 的 组 合 来 获得 满意 的 网 络 安全 性 能 。 网 络 安全 服务 是 通过 网 
络 安全 机 制 来 实现 的 。OSI 系统 管理 标准 中 定义 了 8 种 网 络 安全 机 制 ， 它 们 是 加 密 、 数 字 签 
名 、 访 问 控制 、 数 据 完整 性 、 认 证 、 伪 装 业务 流 、 路 由 控制 以 及 公证 。 

网 络 管理 系统 提供 的 安全 服务 可 以 有 效 地 降低 安全 风险 ， 但 它们 并 不 能 排除 风险 。 
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与 故障 管理 相同 ， 安 全 管理 也 要 提供 报警 、 日 志和 报告 功能 。 该 功能 要 以 大 量 的 侵扰 
检测 器 (可 以 由 软件 实现 ) 为 基础 。 在 发 现 侵入 者 进入 网 络 时 触发 报警 过 程 ， 登 录 安 全 日 志和 
向 安全 中 心 报告 发 生 的 事件 。 在 报警 报告 和 安全 日 志 中 ， 主 要 应 包括 以 下 信息 。 

4 ”事件 的 种 类 。 

发 生 的 时 间 。 
事件 中 通信 双方 的 标识 符 。 
有 关 的 资源 标识 符 。 

4 检测 器 标识 符 。 

2. 防火 墙 技术 

防火 墙 是 一 种 特殊 的 设备 (通常 是 一 个 路 由 器 ， 也 可 能 只 是 一 台 运行 专用 软件 的 PC)， 
它 有 选择 地 过 滤 或 阻塞 网 络 间 的 流量 。 通 常 防火 墙 都 是 硬件 和 软件 的 结合 (如 路 由 器 的 操作 
系统 和 配置 )， 它 可 能 位 于 两 个 互相 连接 的 私有 网 络 处 ， 更 常见 的 是 在 一 个 私有 网 络 与 一 个 
公共 网 络 (比如 Internet) 连 接 处 。 图 1-16 所 示 为 常见 防火 墙 的 示意 图 。 


® @@ 名 


1-16 防火墙 示意 图 


通过 在 网 络 中 设置 防火 墙 ， 可 以 过 滤 网 络 通信 的 数据 包 ， 对 非法 访问 加 以 拒绝 。 系 统 
设置 防火 墙 后 ， 可 以 为 网 络 提供 各 种 保护 ， 主 要 包括 以 下 几 个 方面 的 内 容 。 

4 ”隔离 不 信任 网 段 间 的 直接 通信 。 

9 ”隔离 网 络 内 部 不 信任 网 段 间 的 直接 通信 。 

4 ”拒绝 非法 访问 。 

4 地址 过 滤 。 
4 访问 发 起 位 置 的 判断 。 
4 过 滤 网 络 服务 请 求 。 
4 系统 认证 。 
4 日志 功 能 。 

利用 防火 墙 技 术 ， 通 常 能 够 在 内 外 网 之 间 提供 安全 保护 。 但 是 ， 仅 仅 使 用 防火 墙 保证 
网 络 安全 还 远 远 不 够 ， 原 因 如 下 所 述 。 

4 儿 入 侵 者 可 寻找 防火 墙 背后 可 能 敞开 的 后 门 。 网 络 结构 的 改变 ， 有 时 会 造成 防火 墙 

上 的 安全 策略 失效 。 
4 儿 入 侵 者 可 能 就 在 防火 墙 内 。 在 每 个 企业 的 内 部 网 络 中 ， 每 个 内 部 网 段 上 除 连接 着 
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业务 主机 外 ， 还 有 许多 工作 站 ， 这 些 工 作 站 与 主机 的 通信 不 需要 通过 防火 墙 。 如 
果 攻 击 行为 是 从 这 些 工作 站 上 发 起 的 ， 主 机 将 处 于 无 保护 的 状态 。 
”由 于 性 能 的 限制 ， 防 火 墙 不 能 提供 实时 的 入 侵 检测 能 力 。 
单一 应 用 防火 墙 技术 ， 以 上 问题 是 不 能 得 到 有 效 解决 的 。 如 果 公司 在 重要 主机 上 安装 
实时 入 侵 检 测 系统 就 可 以 解决 由 上 述 情况 引起 的 安全 问题 。 
3. 入 侵 检测 系统 


入 侵 检测 系统 (ntrusion Detection System，IDS) 可 以 弥补 防火 墙 的 不 足 ， 为 网 络 安全 提 
供 实时 的 入 侵 检测 及 采取 相应 的 防护 手段 ， 如 记录 证 据 、 跟 踪 入 侵 、 恢 复 或 断 开 网 络 连 
接 等 。 

1) ”基本 概念 

入 侵 行为 主要 是 指 对 系统 资源 的 非 授权 使 用 ， 可 以 造成 系统 数据 的 丢失 和 破坏 、 系 统 
拒绝 服务 等 危害 。 对 于 入 侵 检测 而 言 的 网 络 攻击 可 以 分 为 以 下 4 类。 

(1) 检查 单 他 包 ( 包 括 TCP、UDP) 首 部 即 可 发 觉 的 攻击 ， 如 winnuke、ping of death、 
land.c、 部 分 OS detection、source routing 等 。 

(2) 检查 单 亿 包 ， 并 同时 要 检查 数据 段 信息 才 能 发 觉 的 攻击 ， 如 利用 CGI 漏洞、 缓存 
溢出 攻击 等 。 

(3) 通过 检测 发 生 频率 才能 发 觉 的 攻击 ， 如 端口 扫描 、SYN Flood、smurf 攻击 等 。 

(4) 利用 分 片 进行 的 攻击 ， 如 teadrop、nestea、jolt 等 。 

进行 入 侵 检测 的 软件 与 硬件 的 组 合 就 是 入 侵 检测 系统 。 入 侵 检 测 系统 的 原理 模型 如 
图 1-17 所 示 。 入 侵 检测 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 
析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 
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1-17 入侵 检 测 系统 的 原理 模型 


2) 任务 

入 侵 检 测 系 统 执行 的 主要 任务 包括 监视 、 分 析 用 户 及 系统 活动 ， 审 计 系 统 构 造 的 弱点 ; 
识别 、 反 映 已 知 进攻 的 活动 模式 ， 向 相关 人 士 报警 ， 统 计 分 析 异 常 行为 模式 ， 评 估 重 要 系 
统 和 数据 文件 的 完整 性 ， 审 计 、 跟 踪 管 理 操作 系统 ， 识 别 用 户 违反 安全 策略 的 行为 。 
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3) “步骤 

入 侵 检测 一 般 分 为 3 个 步骤 , 依次 为 信息 收集 、 数 据 分 析 、 响 应 (被 动 响应 和 主动 响应 )。 

信息 收集 的 内 容 包括 系统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 。 入 侵 检测 利用 的 信 
息 一 般 来 自 系统 日 志 、 目 录 以 及 文件 中 的 异常 改变 、 程 序 执行 中 的 异常 行为 及 物理 形式 的 
入 侵 信 息 4 个 方面 。 

数据 分 析 是 入 侵 检测 的 核心 。 它 首先 构建 分 析 器 ， 把 收集 到 的 信息 经 过 预 处 理 ， 建 立 
一 个 行为 分 析 引 擎 或 模型 ， 然 后 向 模型 中 植 入 时 间 数 据 ， 在 知识 库 中 保存 植 入 数据 的 模型 。 
数据 分 析 一 般 通 过 模式 匹配 、 统 计 分 析 和 完整 性 分 析 3 种 手段 进行 。 

入 侵 检测 系统 在 发 现 入 侵 后 会 及 时 做 出 响应 ， 包 括 切 断 网 络 连接 、 记 录 事 件 和 报警 等 。 
响应 一 般 分 为 主动 响应 (阻止 攻击 或 影响 进而 改变 攻击 的 进程 ) 和 和 被 动 响应 (报告 和 记录 所 检 
测 出 的 问题 ) 两 种 类 型 。 

4) 入侵 检 测 系统 技术 

可 以 采用 概率 统计 方法 、 专 家 系统 、 神 经 网 络 、 模 式 匹配 、 行 为 分 析 等 来 实现 入 侵 检 
测 系统 的 检测 机 制 ， 以 分 析 事件 的 审计 记录 ， 识 别 特定 的 模式 ， 生 成 检测 报告 和 最 终 的 分 
析 结 果 。 

发 现 入 侵 检测 一 般 采 用 如 下 两 项 技术 。 

(1) 异常 发 现 技术 。 异 常 发 现 技术 假定 所 有 入 侵 行为 都 是 与 正常 行为 不 同 的 。 它 的 原 
理 是 ， 假 设 可 以 建立 系统 正常 行为 的 轨迹 ， 所 有 与 正常 轨迹 不 同 的 系统 状态 则 视 为 可 疑 企 
图 。 噶 常 阔 值 与 特征 的 选择 是 其 成 败 的 关键 。 其 局 限 在 于 : 并非 所 有 的 入 侵 都 表现 为 异常 ， 
而 且 系统 的 轨迹 难以 计算 和 更 新 。 

(2) 模式 发 现 技术 。 模式 发 现 技术 是 假定 所 有 入 侵 行为 和 手段 (及 其 变种 ) 都 能 够 表达 为 
一 种 模式 或 特征 ， 所 有 已 知 的 入 侵 方法 都 可 以 用 匹配 的 方法 发 现 。 模 式 发 现 技术 的 关键 是 
如 何 表达 入 侵 的 模式 ， 以 正确 区 分 真正 的 入 侵 与 正常 行为 。 模 式 发 现 的 优点 是 误 报 少 ; 局 
限 是 只 能 发 现 已 知 的 攻击 ， 对 未 知 的 攻击 无 能 为 力 。 

5) ”入 侵 检 测 系统 的 分 类 

通常 ， 入 侵 检 测 系统 按 其 输入 数据 的 来 源 分 为 以 下 3 类 。 

(1) 基于 主机 的 入 侵 检 测 系统 。 其 输入 数据 来 源 于 系统 的 审计 日 志 ， 一 般 只 能 检测 该 
主机 上 发 生 的 入 侵 。 

(2) 基于 网 络 的 入 侵 检 测 系统 。 其 输入 数据 来 源 于 网 络 的 信息 流 ， 能 够 检测 该 网 段 上 
发 生 的 网 络 入 侵 。 

(3) 分 布 式 入 侵 检 测 系 统 。 能 够 同时 分 析 来 自主 机 系统 审计 日 志和 网 络 数据 流 的 入 侵 
检测 系统 ， 系 统 由 多 个 部 件 组 成 ， 采 用 分 布 式 结构 。 

另外 ， 入 侵 检测 系统 还 有 其 他 一 些 分 类 方法 。 如 根据 布控 物理 位 置 可 分 为 基于 网 络 边 
界 (防火 墙 、 路 由 器 ) 的 监控 系统 、 基 于 网 络 的 流量 监控 系统 以 及 基于 主机 的 审计 追踪 监控 系 
统 ， 根 据 建 模 方法 可 分 为 基于 异常 检测 的 系统 、 基 于 行为 检测 的 系统 和 基于 分 布 式 免疫 的 
系统 ， 根 据 时 间 分 析 可 分 为 实时 入 侵 检测 系统 和 离线 入 侵 检测 系统 。 

6) ”入 侵 检 测 的 方法 

入 侵 检测 的 方法 主要 有 以 下 几 种 。 

(1) 静态 配置 方法 。 静态 配置 方法 通过 检查 系统 的 当前 配置 ， 诸 如 系统 文件 的 内 容 或 
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者 系统 表 ， 来 检查 系统 是 否 已 经 或 者 可 能 会 遭 到 破坏 。 静 态 是 指 检查 系统 的 静态 特征 (系统 
配置 信息 )， 而 不 是 系统 中 的 活动 。 所 以 ， 采 用 静态 配置 分 析 方法 需要 尽 可 能 了 解 系统 的 缺 
陷 ， 和 否则 入 侵 者 只 需要 简单 地 利用 那些 系统 中 未 知 的 安全 缺陷 就 可 以 避 开 检测 系统 。 

(2) 异常 性 检测 方法 。 异 常 性 检测 技术 是 一 种 在 不 需要 操作 系统 及 其 防范 安全 性 缺陷 
专门 知识 的 情况 下 ， 就 可 以 检测 入 侵 者 的 方法 ， 同 时 它 也 是 检测 冒充 合法 用 户 的 入 侵 者 的 
有 效 方法 。 但 是 ， 在 许多 环境 中 ， 为 用 户 建立 正常 行为 模式 的 特征 轮廓 ， 以 及 确定 用 户 活 
动 的 异常 性 报警 的 阔 值 都 是 比较 困难 的 事 ， 所 以 仅 使 用 异常 性 检测 技术 不 可 能 检测 出 所 有 
的 入 侵 行为 。 

(3) 基于 行为 的 检测 方法 。 通 过 检测 用 户 行 为 中 那些 与 已 知 入 侵 行为 模式 类 似 的 行为 ， 
以 及 那些 利用 系统 的 缺陷 或 间接 违背 系统 安全 规则 的 行为 ， 来 判断 系统 中 的 入 侵 活动 。 

入 侵 检测 方法 虽然 能 够 在 某 些 方面 取得 好 的 效果 ， 但 总 体 看 来 各 有 不 足 ， 因 而 越 来 越 
多 的 入 侵 检测 系统 都 同时 采用 几 种 方法 ， 以 互补 不 足 ， 共 同 完成 检测 任务 。 

7) ”入 侵 检 测 系统 的 结构 

目前 , CIDF( 通 用 入 侵 检测 架构 组 织 ) 和 IETF 都 试图 对 入 侵 检测 系统 进行 标准 化 。 CIDF 
阐述 了 一 个 入 侵 检测 系统 的 通用 模型 ， 将 入 侵 检测 系统 分 为 以 下 4 个 组 件 。 

(1) 事件 产生 器 。CIDF 将 入 侵 检测 系统 需要 分 析 的 数据 统称 为 事件 ， 它 可 以 是 网 络 中 
的 数据 包 ， 也 可 以 是 从 系统 日 志 等 其 他 途径 得 到 的 信息 。 事 件 产生 器 是 从 整个 计算 环境 中 
获得 事件 ， 并 向 系统 的 其 他 部 分 提供 此 事件 。 

(2) 事件 分 析 器 。 事 件 分 析 器 分 析 得 到 的 数据 ， 并 产生 分 析 结 果 。 

(3) 响应 单元 。 响 应 单元 则 是 对 分 析 结 果 做 出 反应 的 功能 单元 ， 它 可 以 做 出 切断 连接 、 
改变 文件 属性 等 强烈 反应 ， 也 可 以 是 简单 的 报警 。 

(4) 事件 数据 库 。 事 件数 据 库 是 存放 各 种 中 间 和 最 终 数据 的 地 方 的 统称 ， 它 可 以 是 复 
杂 的 数据 库 ， 也 可 以 是 简单 的 文本 文件 。 

在 这 个 模型 中 ， 前 三 者 以 程序 的 形式 出 现 ， 而 最 后 一 个 常 是 文件 或 数据 流 。 入 侵 检测 
系统 的 几 个 组 件 常 位 于 不 同 的 主机 上 。 一 般 会 有 3 台 机 器 ， 分 别 运 行事 件 产生 器 、 事 件 分 
析 器 和 响应 单元 。 

8) 入 侵 检测 系统 的 标准 化 

IETF 的 Internet 草案 工作 组 IDWG) 专 门 负责 定义 入 侵 检测 系统 组 件 之 间 ， 以 及 不 同 厂 
商 的 入 侵 检测 系统 之 间 的 通信 格式 ， 目 前 只 有 相关 的 草案 (Draft)， 还 未 形成 正式 的 RFC 文 
档 。IDWG 文档 有 以 下 4 类 。 

(1) 入 侵 警 报 协 议 (LAP)。 该 协议 是 用 于 交换 入 侵 警报 信息 、 运 行 于 TCP 之 上 的 应 用 层 
协议 。 

(2) 入 侵 检测 交换 协议 IDXP)。 这 个 应 用 层 协议 是 在 入 侵 检测 实体 间 交 换 数据 ， 提 供 
入 侵 检测 报 文 交换 格式 IDMEF) 报 文 、 无 结构 的 文本 和 二 进 制 数据 的 交换 。 

(3) IDMEF。IDMEF 是 数据 存放 格式 隧道 (Tunnel) 文 件 ， 人 允许 块 可 扩展 交换 协议 (Beep) 
对 等 体能 作为 一 个 应 用 层 代理 ， 用 户 通过 防火 墙 得 到 服务 。 

(4) IAP。IAP 是 最 早 设计 的 通信 协议 ， 它 将 被 IDXP 替换 ，IDXP 建立 在 Beep 基础 之 
上 ，Tunnel 文件 配合 IDXP 使 用 。 
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9) IDS 与 防火 墙 的 比较 

IDS 不 同 于 防火 墙 的 是 ， 它 是 一 个 监听 设备 ， 没 有 挂 接 在 任何 链 路 上 ,无 须 网 络 流量 流 
经 它 便 可 以 工作 。 因 此 ， 对 IDS 的 部 署 ， 唯 一 的 要 求 是 : IDS 应 当 挂 接 在 所 有 所 关注 流量 
都 必须 流 经 的 链 路 上 。 在 这 里 ，“ 所 关注 流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 流量 和 需 
要 进行 统计 、 监 视 的 网 络 报 文 。 在 如 今 的 网 络 拓扑 中 ， 已 经 很 难 找到 以 前 的 Hub 式 的 共享 


介质 冲突 域 的 网 络 ， 绝 大 部 分 的 网 络 区 域 都 已 经 全 面 升级 到 交换 式 的 网 络 结构 。 因 此 ，IDS 


在 交换 式 网 络 中 的 位 置 一 般 选 择 在 ， 尽 可 能 靠近 攻击 源 和 受 保护 资源 。 这 些 位 置 通常 是 : 


服务 器 区 域 的 交换 机 ，Internet 接 入 路 由 器 之 后 的 第 一 台 交 换 机 ， 重 点 保护 网 段 的 局 域 网 交 
换 机 等 。 两 者 的 不 同 点 如 表 1-5 所 示 。 


表 1-5 IDS 与 防火 墙 功能 的 比较 


比较 项 目 防火 墙 IDS 
多 穴 主 机 , 数据 转发 设备 ,完成 类 似 于 
it 型 一 3 E 寺 ; 日 5 要 4 
设备 类 交换 机 和 路 由 器 的 功能 般 为 单 接口 ， 是 数据 采集 、 分 析 设 备 
流量 处 理 机 制 过 滤 无 
对 受 检 报 文 的 操作 ”| 大 量 读 写 各 层 报 文 首部 仅 复制 
对 链 路 速度 的 影响 | 取决 于 转发 延迟 无 影响 
可 实现 网 络 层 加 密 、 应 用 层 病毒 检测 和 | 不 能 实现 加 密 、 杀 毒 功能 ， 但 可 以 实 
可 附加 模块 _ . 
杀毒 功能 现 病毒 检测 功能 
对 入 侵 行 为 的 处 理 | 拒绝、 报警、 日 志 记 录 报警 、 日 志 记 录 和 有 限 反 击 
基于 流量 转发 负载 压力 , 对 报 文 普遍 检 | 无 转发 负担 ， 有 入 侵 知 识 库 支持 ， 误 
入 侵 检测 的 准确 性 
查 ， 可 能 发 生 误 报 、 漏 报 漏 报 率 较 低 
ee a 非常 详细 ， 包 括 访问 的 资源 和 报 文 内 
对 访问 日 志 的 记录 | 只 作 条 目 式 记录 ， 框 架 较 粗 a 
设备 稳定 性 对 网 络 | 要 求 非常 高 , 否则 可 能 造成 网 络 链 路 的 天 
的 影响 阻 断 
能 够 完整 修复 应 用 层 内 容 ， 能 够 对 网 
eid R 担 t, 但 此 进行 二 络 特定 流量 进行 全 程 监 记录 ，; 
应 用 层 内 容 恢复 般 不 提供 , 但 可 据 此 进行 过 滤 和 蔡 换 | 络 特定 流 二 程 机 加 
功能 管理 员 判断 进攻 者 、 搜 集 证 据 提供 了 
强 有 力 的 手段 
_ 由 于 对 物理 链 路 隔断 , 必须 支持 所 有 网 
对 网 络 层 以 下 各 层 ee 2 
的 支持 络 层 以 下 的 协议 才能 维持 网 络 正常 运 | 不 作 要 求 
作 ， 如 RIP、OSPF、IGMP 等 


1.5.1.6 ”网 络 系统 的 评价 
1. 系统 评价 概述 


网 络 系统 的 评价 也 要 遵循 一 般 系统 的 评价 原则 ， 下 面 简要 介绍 系统 评价 的 基本 概念 、 


价值 、 评 价 尺度 、 评 价 任务 和 评价 步 又。 
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1) “系统 评价 的 基本 概念 
所 谓 系统 评价 ， 是 指 根据 预定 的 系统 目的 ， 在 系统 调查 和 可 行 性 研究 的 基础 上 ， 主 要 
从 技术 和 经 济 等 方面 ， 就 各 种 系统 设计 的 方案 所 能 满足 需要 的 程度 及 消耗 和 占用 的 各 种 次 
源 进行 评审 ， 选 择 技术 上 先进 、 经 济 上 合理 、 实 施 上 可 行 的 最 优 或 满意 的 方案 。 根 据 评 价 
与 系统 的 关系 ， 可 以 区 分 出 如 表 1-6 所 示 的 评价 类 型 。 
表 1-6 系统 评价 的 类 型 


评价 与 系统 的 关系 


评价 与 决策 


评价 的 类 型 


决策 前 、 中 、 后 评价 
| 评价 与 系统 发 展 过 程 事前 、 中 、 后 评价 
评价 信息 特征 基于 数据 、 模 型 、 专 家 知识 的 评价 ， 综合 评价 


在 系统 开发 过 程 中 ， 通 过 系统 工程 的 思想 、 程 序 和 方法 的 应 用 ， 可 以 提出 许多 开发 系 
统 的 可 选 方案 ， 这 时 就 要 通过 系统 评价 技术 从 众多 的 可 选 方案 中 找 出 最 优 的 方案 。 然 而 ， 
要 决定 哪 一 个 方案 最 优 却 未 必 容易 。 

2) 价值 

所 谓 价值 ， 就 是 评价 主体 (个 人 或 集体 ) 对 某 个 评价 对 象 (如 待 开发 的 系统 、 待 评价 的 方 
案 等 ) 的 认识 (主观 感受 ) 和 估计 。 

价值 是 评价 主体 主观 感受 到 的 ， 是 人 们 对 客观 存在 的 事物 从 各 种 各 样 的 分 析 中 主观 抽 
象 出 来 的 。 价 值 不 是 孤立 地 附属 于 某 一 评价 对 象 , 因此 也 就 没有 衡量 价值 的 绝对 尺度 (标准 )。 

3) ”评价 尺度 

系统 评价 是 由 评价 对 象 、 评 价 主体 、 评 价目 的 、 评 价 时 期 、 评 价 地 点 等 要 素 构成 的 一 
个 综合 性 问题 。 因 此 ， 对 评价 技术 来 说 ， 就 是 首先 引进 和 确定 评价 尺度 (标准 )， 然 后 利用 评 
价 尺度 对 评价 对 象 进行 测定 ， 并 确定 其 价值 。 

常用 的 评价 尺度 大 致 可 分 为 4 种 。 第 一 种 称 为 绝对 尺度 ， 即 规定 原点 尺度 不 变 。 第 二 
种 称 为 间隔 尺度 ， 有 些 场合 只 要 测 得 数值 差 就 有 意义 。 第 三 种 是 顺序 尺度 ， 它 可 以 用 顺序 
或 反映 顺序 的 字符 来 表示 ， 这 时 需要 的 只 是 其 顺序 关系 。 最 后 一 种 是 名 义 尺度 ， 这 仅仅 是 
为 了 识别 或 分 类 需要 而 用 数字 与 对 象 相对 应 。 如 学 校 的 班级 编号 和 运动 员 的 编号 等 就 是 这 
种 名 义 尺度 。 

在 评价 中 ， 要 根据 评价 的 目的 和 评价 对 象 的 性 质 来 确定 评价 尺度 。 

4) ”系统 评价 的 任务 

系统 评价 的 主要 任务 就 在 于 从 评价 主体 根据 具体 情况 所 给 定 的 、 可 能 是 模糊 的 评价 尺 
度 出 发 ， 进 行 首尾 一 致 的 、 无 矛盾 的 价值 测定 ， 以 获得 对 多 数 人 来 说 均 可 以 接受 的 评价 结 
果 ， 为 正确 决策 提供 所 需 的 信息 。 由 此 可 见 ， 系 统 评 价 和 决策 是 密切 相关 的 。 为 了 在 众多 
替代 方案 中 做 出 正确 的 选择 ， 就 需要 有 足够 丰富 的 信息 ， 其 中 包括 足够 的 评价 信息 。 所 以 
说 ， 系 统 评价 只 有 和 方案 决策 和 行为 决策 联系 起 来 才 有 意义 。 评 价 是 为 了 决策 ， 而 决策 需 
要 评价 ， 决 策 过 程 需要 评价 过 程 。 

5) 系统 评价 的 步 又 和 构成 

如 图 1-18 所 示 ， 系 统 评价 的 一 般 步 骤 包 括 评价 问题 、 评 价 系统 分 析 ( 前 提 条 件 探讨 )、 
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评价 资料 的 搜集 、 评 价 指标 的 选择 、 评 价 函 数 的 确定 、 评 价 价值 的 计算 和 综合 评价 等 几 个 
阶段 。 


评价 问题 


评价 系统 分 析 [一 | 


评价 资料 的 搜集 


评价 指标 的 选择 


评价 函数 的 确定 


评价 价值 的 计算 


综合 评价 一 


图 1-18 系统 评价 步 又 
2. 系统 评价 要 点 


系统 评价 的 要 点 包括 评价 系统 分 析 、 评 价 资料 的 搜集 、 评 价 指标 的 选择 、 评 价 函 数 的 
确定 、 评 价 价值 的 计算 和 综合 评价 等 。 

1) 评价 系统 分 析 

在 正式 进行 系统 评价 前 ， 有 必要 对 评价 系统 进行 分 析 ， 探 讨 和 明确 一 系列 前 提 条 件 ， 
这 是 做 好 系统 评价 的 首要 工作 。 主 要 包括 如 下 内 容 。 

(1) 评价 的 目的 。 总 体 来 说 ， 评 价 的 目的 是 为 了 更 好 地 决策 ， 但 具体 来 说 ， 评 价目 的 
又 大 致 可 分 为 以 下 4 个 方面 。 

外 ”使 评价 系统 达到 最 优 。 为 了 使 系统 结构 或 技术 参数 达到 最 优 ， 有 必要 量化 评价 系 
统 中 各 种 蔡 代 方法 的 价值 。 

@ 对 决策 的 支持 。 当 评价 者 或 决策 者 在 选择 最 优 方案 的 过 程 中 ， 对 蔡 代 方案 的 各 自 
价值 感到 迷惑 不 解 时 ， 评 价 提供 的 信息 可 供 决策 参考 。 

@ 决定 行为 的 说 明 。 对 于 复杂 的 问题 即使 做 出 合理 的 决定 ， 如 果 没 有 评价 或 评价 过 
程 模 糊 不 清 ， 也 会 遭 到 人 们 的 怀疑 、 误 解 以 至 抵制 ， 所 以 为 了 形成 统一 意志 ， 需 要 有 某 种 
程度 的 客观 评价 。 

@ 问题 的 分 析 。 评 价 的 过 程 往往 是 问题 分 析 的 过 程 。 有 许多 问题 利用 相关 的 评价 方 
法 可 以 把 复杂 的 问题 分 解 成 简单 的 小 问题 ， 再 通过 对 这 些小 问题 的 分 析 和 评价 ， 获 得 系统 
的 综合 评价 。 

(2) 评价 系统 范围 的 界定 。 它 主要 是 确定 系统 的 边界 ， 即 评价 对 象 涉及 多 大 范围 。 评 
价 系统 的 范围 不 应 过 小 ， 以 免 忽略 重要 影响 部 门 而 有 失 系 统 性 ， 同 时 也 不 应 过 大 ， 以 免 合 
评价 问题 过 度 复杂 化 。 

(3) 评价 的 立场 。 在 进行 系统 评价 时 必须 明确 评价 主体 的 立场 ， 即 明确 评价 主体 是 系 
统 使 用 者 还 是 开发 者 抑或 是 第 三 者 等 ， 这 对 于 以 后 评价 方案 的 确定 、 评 价 项 目的 选择 等 都 
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有 直接 的 影响 。 

(4) 评价 的 时 期 。 即 系统 评价 处 于 系统 开发 全 过 程 的 哪个 时 期 (评价 时 期 一 般 可 分 为 事 
前 评价 、 事 中 评价 和 事后 评价 )。 

(5) 评价 系统 环境 的 分 析 。 系 统 环境 的 分 析 是 指 对 存在 于 系统 外 的 物质 的 、 经 济 的 、 
信息 的 影响 因素 进行 分 析 ， 以 了 解 这 些 因素 对 评价 系统 的 影响 。 系 统 环境 可 能 受到 的 影响 
可 分 为 三 大 类 : 技术 的 、 经 济 的 及 社会 的 影响 。 

2) “评价 资料 的 搜集 

对 评价 系统 的 功能 、 费 用 、 时 间 及 其 使 用 寿命 进行 预测 和 估计 ， 为 确定 评价 尺度 、 评 
价 函数 等 搜集 评价 所 需 的 资料 。 

3) ”评价 指标 的 选择 

评价 指标 的 选择 是 由 评价 目标 与 实际 情况 共同 决定 的 ， 选 择 时 应 注意 以 下 几 点 。 

(1) 评价 指标 必须 与 评价 目的 和 目标 密切 相关 。 

(2) 评价 指标 应 当 构成 一 个 完整 的 体系 ， 即 全 面 地 反映 所 需 评价 对 象 的 各 个 方面 。 

(3) 评价 指标 总 数 应 当 尽 可 能 地 少 ， 以 降低 评价 负担 。 

4) “评价 函数 的 确定 

评价 函数 是 使 评价 定量 化 的 一 种 数学 模型 。 不 同 问题 使 用 的 评价 函数 可 能 不 同 ， 同 一 
个 评价 问题 也 可 以 使 用 不 同 的 评价 函数 ， 因 此 ， 对 选用 什么 样 的 评价 函数 本 身 也 必须 做 出 
评价 。 一 般 应 选用 能 更 好 地 达到 评价 目的 的 评价 函数 或 其 他 适应 的 评价 函数 。 

评价 函数 本 身 是 多 属性 、 多 目标 的 。 尤 其 当 评价 目的 在 形成 统一 意见 或 进行 群体 决策 
时 ， 对 确定 评价 函数 会 产生 不 同 的 看 法 。 因 此 ， 在 系统 实施 进行 之 前 ， 应 该 在 有 关 人 员 间 
进行 充分 的 无 拘束 的 讨论 ， 和 否则 难以 获得 有 效 的 评价 。 

5) 评价 价值 的 计算 

当 评价 函数 确定 后 ， 评 价 尺 度 也 随 之 确定 。 在 评价 价值 计算 之 前 ， 还 需要 确定 各 评价 
项 目的 权重 。 总 之 ， 评 价 尺度 和 评价 项 目的 权重 应 保证 评价 的 客观 正确 性 和 有 效 性 。 

6) “综合 评价 

综合 评价 就 是 对 系统 进行 技术 、 经 济 、 社 会 等 各 方面 的 全 面 评价 。 但 综合 评价 的 各 个 
方面 和 评价 项 目 不 能 一 概 而 论 ， 应 根据 具体 评价 对 象 确定 。 以 企业 开发 新 产品 为 例 ， 一 个 
完整 的 综合 评价 体系 大 致 包括 以 下 几 个 方面 : 经 营 管理 方面 、 技 术 方面 、 市 场 方面 、 时 间 
方面 、 经 济 方面 、 体 制 方面 和 社会 方面 等 。 

安排 定期 的 系统 评价 被 确定 为 网 络 系统 实施 过 程 实现 后 鉴定 的 一 部 分 。 定 期 的 系统 评 
价 安排 在 系统 实现 后 3 个 月 ， 但 不 能 超过 一 年 。 评 价 小 组 负责 审定 下 列 内 容 。 

4 ”系统 效率 。 

8 ”系统 有 效 性 。 
4 解决 周期 。 
4 ”响应 时 间 。 
4 ”信息 的 关联 。 
. 
全 


输入 /输出 的 分 配 及 控制 。 
输入 /输出 的 格式 和 内 容 。 
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。 文件 、 记 录 和 数据 库 的 结构 。 

。 更 新 和 后 和 措施 。 

。 系统 资料 的 通用 性 。 

关于 需要 进一步 改进 的 不 足 之 处 和 建议 都 要 编制 成 文件 ， 并 提交 给 相应 业务 领域 的 管 
理 人 员 。 

3. 系统 能 力 的 限制 


网 络 系统 的 主要 功能 是 资源 共享 和 数据 传输 ， 因 而 系统 的 能 力 具 体 体现 在 服务 器 处 理 
能 力 和 传输 能 力 ， 即 媒体 的 带宽 和 中 继 设 备 的 交换 能 力 。 由 于 每 种 设备 的 配置 是 固定 的 ， 
因而 其 处 理 能 力也 有 一 定 的 范围 限制 ， 若 传输 媒体 带宽 固定 ， 其 单位 时 间 内 的 传输 能 力也 
有 一 定 的 限制 ， 则 还 要 考虑 利用 率 的 问题 。 因 此 在 系统 评价 时 应 该 确切 地 了 解 系统 的 设备 
配置 及 其 性 能 ， 对 即将 开放 的 网 络 服务 进行 评估 ， 考 查 是 否 超出 网 络 系统 的 能 力 ， 如 果 不 
能 满足 则 不 应 该 接受 ， 采 取 其 他 措施 扩容 或 者 限制 网 络 用 户 的 应 用 ， 以 保证 网 络 系统 正常 
可 靠 地 运行 。 

4. 潜在 的 问题 分 析 

系统 设计 实施 完成 后 ， 需 要 对 整个 系统 进行 评估 ， 即 要 考查 系统 的 功能 、 性 能 、 可 靠 
、 可 用 性 、 安 全 性 等 方面 是 否 达到 设计 目标 ， 需 要 分 析 各 个 方面 是 否 存在 潜在 的 问题 隐 
， 为 网 络 系统 的 维护 和 升级 提供 依据 。 

1) ”网 络 性 能 问题 分 析 

使 用 多 种 性 能 监视 工具 对 包括 带宽 、 利 用 率 、 吞 叶 量 、 系 统 延 时 等 在 内 的 关键 性 能 指 
标 进行 监控 并 记录 结果 ， 与 基准 线 进行 比较 ， 观 测 系 统 性 能 出 现 波动 的 时 间 和 周期 并 分 析 
其 原因 。 
2) ”网 络 安全 性 问题 分 析 
可 从 以 下 方面 对 网 络 安全 性 问题 进行 分 析 。 

(1) 从 网 络 系统 外 部 进行 分 析 ， 考 查 计算 机 网 络 基础 设施 中 防火 墙 的 安全 性 。 

(2) 从 网 络 系 统 内 部 进行 分 析 ， 考 查 网 络 系 统 内 部 计算 机 的 安全 性 。 

(3) 从 网 络 应 用 系统 进行 分 析 ， 考 查 每 台 硬 件 设备 运行 的 操作 系统 的 安全 性 。 

(4) 使 用 专用 软件 进行 分 析 ， 查 找 存 在 的 安全 漏洞 和 隐患 并 提出 解决 方案 。 

3) ”网 络 可 靠 性 问题 分 析 

与 有 关 专家 一 道 全 面 分 析 网 络 的 可 靠 性 ， 包 括 物理 方面 、 罗 辑 方面 的 可 靠 性 及 其 健康 
运行 性 ， 评 估 系 统 与 需求 的 相合 性 ， 如 果 不 相 合 则 存在 差距 。 还 应 该 考虑 到 网 络 系统 运营 
后 新 的 应 用 需求 及 其 增长 所 带 来 的 影响 ， 预 期 未 来 几 年 内 网 络 可 靠 性 存在 的 问题 ， 并 写 入 
评估 报告 。 

4) ”形成 问题 报告 

网 络 系统 分 析 人 员 整 理 已 经 收集 完整 的 各 方面 的 评估 报告 ， 进 一 步 分 析 找 出 系统 存在 
的 各 方面 问题 ， 形 成 全 面 的 问题 报告 。 问 题 报 告 中 应 该 详细 描述 问题 存在 的 原因 、 发 生 的 
相关 环境 及 对 应 用 可 能 存在 的 影响 ， 并 将 其 提交 给 上 一 层 决策 者 ， 作 为 系统 升级 时 的 参考 
依据 。 
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1.5.1.7 改进 系统 的 建议 
1. 系统 生命 周期 


开发 一 个 新 的 网 络 系统 或 修改 一 个 已 有 的 网 络 系统 的 过 程 称 为 网 络 的 生命 周期 。 网 络 
的 生命 周期 体现 的 是 一 个 新 的 网 络 或 新 特征 的 构思 计划 、 分 析 设 计 、 实 施 运行 和 维护 的 过 
程 ， 这 个 过 程 在 修改 之 后 又 要 重新 开始 。 这 种 生命 周期 与 软件 工程 中 的 软件 的 生命 周期 非 
常 类 似 。 

虽然 目前 没有 哪个 生命 周期 可 以 完美 地 描述 所 有 的 项 目 开发 ， 但 是 网 络 流程 周期 和 网 
络 循环 周期 这 两 种 基本 的 生命 周期 模型 得 到 了 软件 工程 师 的 认可 和 应 用 。 下 面 针对 这 两 种 
网 络 生命 周期 进行 介绍 。 

1) ”网 络 流程 周期 

网 络 流程 周期 由 需求 规范 、 通 信 规 范 、 逻 辑 网 络 设计 、 物 理 网 络 设计 和 实施 阶段 等 5 
个 不 同 的 阶段 组 成 。 生 命 周 期 又 叫 作 一 个 流程 ， 因 为 每 一 项 工作 都 是 从 一 个 阶段 “ 流 到 ” 
下 一 个 阶段 ， 正 如 图 1-19 所 描绘 的 那样 。 当 系统 正常 运行 以 后 ， 网 络 生命 周期 就 会 由 于 更 
新 而 重新 开始 。 
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1-19 网 络 流程 周期 


按照 这 种 模型 开发 网 络 ， 在 开始 下 一 个 阶段 之 前 ， 前 面 的 每 个 阶段 的 工作 必须 已 经 完 

成 。 一 般 情况 下 ， 不 允许 返回 前 面 的 阶段 ， 如 果 前 一 阶段 的 工作 没有 完成 就 进入 了 下 一 个 
阶段 ， 则 会 造成 工期 拖延 ， 随 之 将 带 来 严重 的 超支 。 
网 络 流程 周期 的 主要 优势 在 于 所 有 的 计划 都 在 较 早 的 阶段 完成 。 该 系统 的 所 有 负责 人 
对 系统 的 具体 情况 以 及 工作 进度 都 非常 清楚 ， 这 就 有 助 于 较 早 地 知道 工期 和 更 容易 地 协 
调 工 作 。 
网 络 流程 周期 的 缺点 是 比较 呆板 、 不 灵活 。 因 为 在 项 目 完成 之 前 ， 用 户 的 需求 往往 会 
发 生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 常 修改 ， 从 而 影响 工作 的 进程 。 网 络 流程 周期 适用 
于 开发 很 小 的 项 目 。 

2) ”网 络 循环 周期 
网 络 循环 周期 又 称 为 网 络 旋涡 周期 ， 是 从 网 络 流程 周期 演变 而 来 的 。 其 出 现 的 目的 是 
克服 网 络 流程 周期 在 灵活 性 方面 的 缺点 。 

变化 管理 是 网 络 循环 周期 的 指导 性 原则 。 与 网 络 流程 周期 不 同 的 是 ， 网 络 循环 周期 能 
够 快速 适应 新 的 需求 。 这 可 以 通过 重复 几 次 所 有 阶段 来 实现 ， 每 次 循环 将 产生 一 个 新 的 循 
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环 周期 。 网 络 循环 周期 共 由 4 个 阶段 组 成 ， 其 各 阶段 的 组 成 顺序 如 图 1-20 所 示 。 
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1-20 网络 循环 周期 


网 络 循环 周期 是 一 个 连续 体 ， 通 过 在 网 络 设计 中 的 每 一 个 循环 实现 最 终 性 能 的 一 个 子 
集 ， 用 户 就 有 机 会 在 项 目 完成 之 前 反馈 他 们 的 意见 和 建议 并 在 新 的 一 轮 循 环 中 加 以 考虑 ， 
新 的 性 能 被 加 入 ， 用 户 提出 的 问题 随 之 得 以 解决 。 

虽然 网 络 循环 周期 在 处 理 需 求 变化 方面 比 网 络 流程 周期 优越 ， 但 也 有 其 自身 的 缺点 ， 
就 是 无 法 预知 用 户 以 后 会 要 求 什么 ， 这 样 就 很 难 估计 出 最 终 的 经 费 和 完工 日 期 。 最 糟 的 是 ， 
按照 网 络 循环 周期 模型 开发 网 络 ， 很 容易 陷入 无 休止 的 更 新 循环 中 。 

2. 系统 经 济 效益 

付出 应 当 有 所 得 ， 而 且 应 当 大 大 地 超出 付出 ， 这 是 市 场 经 济 的 基本 原则 。 因 此 ， 网 络 
系统 评价 的 另 一 个 重点 是 投资 /效益 分 析 。 投 资 分 析 参 见 技 术 可 行 性 的 结果 ;， 效益 分 析 包括 
经 济 效益 和 社会 效益 两 部 分 。 经 济 效益 又 可 进一步 划分 为 直接 经 济 效益 和 间接 经 济 效益 两 
部 分 。 

直接 经 济 效益 是 指 通过 本 项 工程 的 实施 所 产生 的 可 见 的 经 济 效益 ， 例 如 ， 使 用 自动 化 
处 理 和 电子 化 传输 技术 可 以 节省 日 常 的 邮政 费用 、 差 旅费 开支 等 。 

间接 经 济 效益 是 指 通过 本 项 工程 的 实施 所 产生 的 间接 经 济 效益 ， 例 如 ， 节 省 人 力 、 提 
高 自动 化 程度 、 提 高 功效 及 加 快 部 门 内 或 者 部 门 间 的 信息 交互 等 。 

对 于 经 济 效益 分 析 ， 应 当 尽 可 能 地 考虑 各 个 方面 ， 并 进行 量化 ， 包 括 节省 了 多 少时 间 、 
节省 了 多 少 人 力 和 工作 量 ， 相 当 于 创造 多 少 产值 。 例 如 ， 使 用 办 公 自动 化 ， 减 少 了 人 工 录 
入 的 工作 ， 不 仅 节省 了 人 力 ， 还 降低 了 录入 的 差错 ， 以 及 避免 由 此 而 引起 的 问题 。 

需要 指出 的 是 ， 在 分 析 投 资 /效益 比 时 ， 也 应 当 对 投资 风险 进行 分 析 。 事 实 上 ， 进 行 任 
何 投资 活动 时 ， 必 然 存在 着 某 种 风险 。 一 味 地 描述 效益 而 忽略 可 能 的 风险 是 不 明智 的 。 投 
资 风险 主要 体现 在 如 下 几 个 方面 : 实际 投资 值 超 过 估计 值 ， 应 用 效果 比 预期 的 差 ， 效益 比 
预期 的 低 ， 出 现 不 可 预测 的 意外 或 环境 变化 。 在 进行 可 行 性 分 析 时 ， 应 当 考 虑 各 种 投资 风 
险 的 可 能 性 ， 并 提出 降低 风险 的 措施 ， 亦 即 可 行 性 分 析 应 当 客观 地 反映 所 有 的 问题 。 

3. 系统 的 可 扩充 性 

可 扩充 性 是 满足 所 有 网 络 通信 流量 的 需求 并 随 着 公司 的 发 展 能 够 容纳 更 多 通信 流量 的 

一 种 能 力 。 可 扩充 性 涉及 网 络 设计 的 几 个 方面 。 如 以 校园 网 为 例 ， 需 要 考虑 以 下 几 个 方面 。 
4 儿 ”计算 机 工作 站 将 要 用 到 的 重要 的 服务 器 资源 放 在 何 处 。 
4 ”使 用 的 网 络 技术 能 否 支持 放置 在 每 个 楼 层 的 所 有 工作 站 。 

4 连接 校园 网 的 主干 网 能 和 否 支 持 全 校 所 有 的 工作 站 间 的 跨 建筑 通信 量 。 

ba 

全 


集线器 和 交换 机 是 否 有 足够 的 带宽 能 力 处 理 各 楼 层 和 建筑 物 间 的 通信 量 。 
网 络 协议 是 否 能 够 正确 地 对 环境 里 的 每 台 工 作 站 进行 寻 址 。 


4 ”局 域 网 环境 能 否 容 纳 广播 站 的 容量 。 

4 网络 内 两 个 最 远 节点 间 的 距离 是 否 超出 了 所 用 网 络 技术 允许 的 范围 。 

% 网 络 是 否 存在 要 求 特别 高 的 工作 组 ， 对 它们 应 如 何 处 理 。 

可 扩充 性 是 在 网 络 规划 设计 阶段 就 应 该 考虑 的 问题 ， 在 网 络 设计 中 ， 应 该 保留 一 定 
扩展 空间 ， 以 备 以 后 网 络 升级 之 用 。 但 随 着 系统 的 运行 和 升级 ， 可 扩展 性 将 逐步 丧失 ， 
此 在 网 络 系统 升级 时 也 应 该 考虑 这 个 问题 ， 以 便 长 久 地 保持 系统 可 扩充 的 能 力 。 

4. 建议 改进 系统 的 要 点 

网 络 系统 正常 运行 后 ， 经 过 网 络 管理 人 员 长 时 间 对 系统 性 能 、 安 全 、 可 靠 性 、 可 用 性 、 
可 扩充 性 等 方面 的 观察 和 数据 积累 ， 系 统 出 现 的 问题 会 越 来 越 清 晰 地 显示 在 面前 。 如 ; 

4 ”安全 漏洞 和 安全 隐患 。 

4 ”性 能 瓶颈 。 

4 ”可 靠 性 措施 不 力 。 

4 ”可 用 性 不 符合 需求 。 

4 ”扩充 空间 有 限 ， 不 能 满足 今后 应 用 。 

根据 对 系统 存在 问题 的 分 析 并 参照 潜在 问题 分 析 的 报告 ， 可 以 针对 每 个 问题 进行 改进 ， 
以 使 整个 网 络 更 加 安全 可 靠 地 运行 。 


轩 喷 


1.5.2 ”典型 例题 分 析 


例 1 【说 明 】(2017 年 下 半年 下 午 试题 一 ) 
图 1-21 是 某 企业 网 络 拓扑 ， 网 络 区 域 分 为 办 公 区 域 、 服 务 器 区 域 和 数据 区 域 ， 线 上 商 
城 系 统 为 公司 提供 产品 在 线 销售 服务 。 公 司 网 络 保障 部 负责 员工 办 公 电 脑 和 线 上 商城 的 技 


术 支 持 和 保障 工作 。 
Ce = 负载 均衡 系统 核心 交换 机 
ol [eo 
办 公 区 域 [< 服务 器 和 数据 区 域 


C2 NS 2 
办 公 电 脑 - 办 公 电 脑 -2。 办 公 电脑- 


主 磁盘 隆 列 备份 磁盘 阵列 
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【问题 1】(6 分 ) 

某 天 ， 公 司 有 一 台电 脑 感染 “勒索 ”病毒 ， 网 络 管理 员 应 采取 _ (01) _、_@Q) 、_ (3) 
措施 。 

(1)~(3) 备 选 答案 : 

A. 断 开 已 感染 主机 的 网 络 连 接 

B. 更 改 被 感染 文件 的 扩展 名 

C. 为 其 他 电脑 升级 系统 漏洞 补丁 

D. 网 络 层 禁止 135/137/139/445 端口 的 TCP 连接 

E. 删除 已 感染 病毒 的 文件 

【问题 2】(8 分 ) 

图 1-21 中 ， 为 提高 线 上 商城 的 并 发 能 力 ， 公 司 计划 增加 两 台 服务 器 ， 三 台 服 务 器 同时 
对 外 提供 服务 ， 通 过 在 图 中 _(4) 设备 上 执行 _(5) 策略 ， 可 以 将 外 部 用 户 的 访问 负载 平 
均 分 配 到 三 台 服 务 器 上 。 


(5) 备 选 答案 : 

A. 散 列 B. 轮 询 C. 最 少 连接 D. 工作 一 备份 
其 中 一 台 服 务 器 的 下 地址 为 192.168.20.5/27， 请 将 配置 代码 补充 完整 。 

这 fg-eml 配置 片段 如 下 : 

DEVICE =eml 


TYPE=Ethernet 
UUID=36878246-2a99-43b4-81df-2db1228eea4b 
ONBOOT=yes 
NM_CONTROLLED=yes 
BOOTPROTO=none 
HWADDR=90:B1:1C:51:F8:25 
IPADDR=192.168.20.5 
NETMASK= (6) 
GATEWAY=192.168.20.30 
DEFROUTE= yes 
IPV4A_FAILURE FATAL=yes 
IPV6INTI=no 


配置 完成 后 ， 执 行 systemctl1_(7) _network 命令 重启 服务 。 

【问题 3】(4 分 ) 

网 络 管理 员 发 现 线 上 商城 系统 总 是 受到 SQL 注入 、 跨 站 脚本 等 攻击 ,公司 计划 购置 _ (8) 
设备 /系统 ， 加 强 防范 ;该 设备 应 部 署 在 图 1-21 中 设备 ~@ 的 _(9) 处 。 

(8) 备 选 答案 : 

A. 杀毒 软件 B. 主机 加 固 C. WAF(Web 应 用 防护 系统 ) D. 漏洞 扫描 

【问题 4】(2 分 ) 

图 1-21 中 ， 存 储 域 网 络 采用 的 是 _(10) 网络。 
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答案 : 

【问题 1] ()A QC G3)D 

【问题 2】(4) 负载 均衡 系统 (5)B (6) 255.255.255.224 (7) restart 

【问题 3] (8)C (09) 四 

【问题 4】(10) FC-SAN 

解析 : 

【问题 1】 勒索 病 毒 利用 的 是 Windows 系统 漏洞 ， 通 过 系统 默认 开发 135、137、139、 
445 等 文件 共享 端口 发 起 的 病毒 攻击 ， 因 此 应 该 先 将 感染 的 主机 断 开 网 络 和 连接 , 将 其 他 主机 
也 断 开 连 接 ， 并 禁止 共享 操作 ， 然 后 升级 操作 系统 漏洞 补丁 ， 避 免 再 次 遭受 攻击 。 

【问题 2】 实 现 负载 均衡 可 直接 在 此 网 络 上 的 负载 均衡 设备 实现 ， 并 执行 轮 询 设置 ， 这 
样 可 实现 对 各 服务 器 的 负载 均衡 操作 。 由 题 可 知 服务 器 的 IP 地 址 为 192.168.20.5/27， 因 此 
可 知 子 网 掩 码 为 255.255.255.244， 重 启 服务 器 的 命令 为 systemetl restart network。 

【问题 3〗Web 应 用 防护 系统 ， 简 称 WAF。Web 应 用 防火 墙 是 执行 一 系列 针对 
HTTP/HTTPS 的 安全 策略 来 专门 为 Web 应 用 提供 保护 的 一 种 产品 。 它 能 够 有 效 发 现 及 阻止 
SQL 注入 ， 网 页 窜改 ， 跨 站 脚本 等 攻击 。 其 主要 对 服务 器 区 域 进行 检测 和 保护 ， 故 放 入 @ 
处 最 为 适宜 。 

【问题 4] 存储 网 络 ， 采 用 光纤 连接 存储 区 域 ， 实 现 高 速 存储 访问 ,符合 FC-SAN 支持 
块 级 调用 ， 适 合 为 大 型 数据 库 提供 存储 服务 。 

例 2 阅读 以 下 说 明 ， 回 答 问 题 1 一 2， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 

网 络 解 决 方案 如 图 1-22 所 示 。 该 网 络 原先 使 用 的 是 国外 品牌 的 交换 机 ， 随 着 网 络 规模 
的 扩大 ， 增 添 了 部 分 国产 品牌 的 交换 机 ， 交 换 机 1 至 交换 机 5 均 是 国产 10~100 Mb/s 的 自 
适应 交换 机 ， 交 换 机 6 和 交换 机 7 是 第 三 层 交 换 机 。 


Internet 


sy ss Es 
交换 机 2 交换 机 3 


VIP 小 区 


新 建 密集 小 区 
1-22 网络 解 决 方案 
该 网 络 在 运营 过 程 中 曾 出 现下 列 故障 。 
故障 1 
使 用 “网 络 故障 一 点 通 ”测试 新 建 密集 小 区 用 户 和 第 三 层 交换 机 6 之 间 的 最 大 吞吐 量 ， 
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发 现 这 些 用 户 带 宽 都 不 超过 10 Mbps。 
使 用 “在 线 型 网 络 万 用 表 ” 串 联 在 第 三 层 交换 机 6 和 交换 机 4 之 间 ， 测 试 数秒 钟 后 ， 
发 现 它 们 之 间 的 传输 速率 也 是 10 Mb/s。 
故障 2 
故障 现象 .VIP 小 区 的 用 户 不 能 上 网 ， 但 能 ping 通路 由 器 地 址 。 
分 析 : 由 于 VIP 小 区 的 用 户 配置 的 是 静态 全 地址 ， 而 且 处 在 同一 网 段 ， 共 用 路 由 器 上 
的 一 个 地 址 作为 网 关 地 址 。 用 户 能 ping 通路 由 器 ， 说 明 从 用 户 到 路 由 器 间 的 路 径 是 通 的 ， 
因此 需 重点 检查 路 由 器 。 
操作 过 程 如 下 。 
首先 ， 在 路 由 器 上 ， 观 察 接口 状态 ， 未 见 异 常 。 
然后 ， 用 show ip route 观察 _QD 表 ， 未 见 异常 。 
最 后 , 再 用 show arp 观察 _@ 表 , 发 现 路 由 器 的 MAC 地 址 与 工作 人 员 以 前 保存 在 该 表 
中 的 MAC 地 址 不 同 ， 而 是 VIP 小 区 中 某 个 用 户 的 MAC 地 址 。 
【问题 1】 造 成 故障 1 的 原因 是 什么 ? 如 何 解决 ? 
【问题 2】 
(1) 将 故障 2 中 四 和 @ 两 处 合适 的 答案 填 入 答题 纸 相应 的 解答 栏 内 。 
(2) 故障 2 如 何 解决 ? 
答案 : 
【问题 1】 交 换 机 6 的 端口 是 10 Mbps 端口 ， 可 以 升级 为 100 Mbps 端口 。 
【问题 2】 
(1) OP 路 由 @ARP 
(2) 重新 修改 ARP 表 中 的 路 由 器 的 MAC 地 址 。 
解析 : 根据 测试 结果 可 知 交 换 机 4 和 交换 机 6 之 间 的 带宽 为 10 Mbps， 而 由 于 交换 机 1 
和 交换 机 4 都 是 自 适应 交换 机 ， 因 而 可 以 判断 第 三 层 交 换 机 6 的 端口 带宽 最 高 为 10 Mbps， 
故 解决 此 问题 的 简单 方法 就 是 将 交换 机 6 的 端口 升级 ， 比 如 升级 为 100 Mbps 的 端口 ， 这 样 
可 以 提升 PC 的 访问 速率 。 
对 于 第 2 个 故障 ， 关 键 在 于 了 解 访问 互联 网 的 过 程 。 在 网 络 中 存在 多 种 标识 主机 的 方 
法 ， 包 括 域名 、 了 P 地 址 和 MAC 地 址 ， 对 于 同一 台 主机 来 说 ， 它 们 应 该 是 一 致 的 ， 即 具有 一 
一 对 应 的 关系 。 而 其 中 MAC 地 址 是 网 络 接口 卡 的 物理 地 址 ， 可 以 唯一 确定 一 台 主机 ， 其 他 
名 称 均 可 以 改变 。 本 题 的 故障 在 于 IP 地 址 与 MAC 地 址 的 对 应 关系 弄 错 了 ， 因 而 无 法 找到 
正确 的 路 由 器 接 入 互联 网 。 解决 的 办 法 是 修改 ARP 表 中 路 由 器 1 对 应 的 他 地 址 与 MAC 地 
址 的 对 应 关系 。 
另外 ， 还 需要 掌握 查看 故障 时 常用 的 show 命令 的 用 法 。 


例 3 公司 网 络 中 的 设备 或 系统 (包括 存储 商业 机 密 的 数据 库 服务 器 、 邮 件 服务 器 、 存 
储 资源 代码 的 PC、 应 用 网 关 、 存 储 私 人 信息 的 PC、 电 子 商务 系统 ) 哪 些 应 放 在 DMZ 中 ， 
哪些 应 放 在 内 网 中 ? 并 给 予 简要 说 明 。 

答案 : 在 DMZ 中 放置 邮件 服务 器 、 应 用 网 关 、 电 子 商 务 系统 。 在 内 网 中 放置 机 密 数 据 
库 服务 器 、 存 储 私人 信息 的 PC 和 存储 资源 代码 的 PC。DMZ 是 放置 公共 信息 的 最 佳 位 置 ， 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


用 户 、 潜 在 用 户 和 外 部 访问 者 不 用 通过 内 网 就 可 以 直接 获得 他 们 所 需 的 关于 公司 的 一 些 信 
息 。 公 司 中 机 密 的 、 私 人 的 信息 可 以 安全 地 存放 入 内 网 中 ， 即 DMZ 的 后 面 。DMZ 中 的 服 
务 器 不 应 包含 任何 商业 机 密 、 资 源 代码 或 私人 信息 。 

解析 : 当 打 算 在 网 络 上 安装 一 个 防火 墙 时 ， 首 先 想到 的 可 能 就 是 把 所 有 的 客户 和 服务 
器 都 放 到 它 的 后 面 。 这 对 于 小 企业 来 说 是 一 个 较 好 的 解决 办 法 ， 但 对 于 大 企业 ， 就 应 该 考 
虑 构建 一 个 叫 作 非 军事 区 DMZ(Demilitarized Zone) 的 周边 安全 网 络 ， 用 来 区 分 外 网 与 内 网 。 

DMZ 是 放置 公共 信息 的 最 佳 位 置 ， 这 样 用 户 、 潜 在 用 户 和 外 部 访问 者 都 可 以 直接 获得 
他 们 所 需 的 关于 公司 的 一 些 信息 ， 而 不 用 通过 内 网 。 公 司 中 机 密 的 和 私人 的 信息 可 以 安全 
地 存放 在 内 网 中 ， 即 DMZ 的 后 面 。DMZ 中 的 服务 器 不 应 包含 任何 商业 机 密 、 资 源 代码 或 
是 私人 信息 。DMZ 服务 器 上 的 破坏 最 多 只 可 能 造成 在 恢复 服务 器 时 的 一 段 中 断 服务 。 


1.5.3 同步 练习 


1. 试 述 一 般 连 接 性 故障 排除 的 步骤 。 

2. 在 两 个 公司 网 站 之 间 建 立 一 条 租用 (DDN) 线 路 连接 时 遇 到 以 下 问题 。 

过 去 这 两 个 网 站 是 通过 ISDN 线路 使 用 DDR 来 连接 的 ， 由 于 信息 量 的 增加 ， 选 用 
256 Kb/s 的 租用 线路 更 加 合算 。 连 接 方式 如 图 1-23 所 示 。 


网 络 A 网 络 B 
局 已 
主机 1 让 
民 口 
ED 3 


1-23 线路 连接 方式 


现在 决定 为 每 个 路 由 器 配 一 个 NAN 串口 网 卡 , 提供 DB-60 串口 , 以 便 连接 到 电话 公司 
的 网 络 终端 NTU) 上 。 电 话 公司 派 人 到 两 个 网 站 进行 了 实地 观察 ， 并 且 安装 了 NTU。 先 将 
两 个 网 站 的 路 由 器 的 DB-60 与 V.35 电缆 相连 接 ， 然 后 开始 进行 路 由 的 配置 。 建 立 这 个 配置 
后 ， 两 个 路 由 器 上 的 串口 都 不 能 运行 ， 它 们 显示 为 无 法 工作 的 状态 。 

(1) 如 果 假定 最 初 的 配置 有 问题 ， 那 么 用 什么 命令 可 以 检查 ? 

(2) 检查 完 配置 后 发 现 并 没有 问题 ， 然 后 决定 按照 OSI 模型 的 顺序 来 进行 系统 的 问题 
诊断 。 首 先 观察 路 由 器 的 物理 接口 和 NTU, 那么 可 以 根据 NTU 的 指示 灯 的 哪个 状态 来 判断 
它 是 正常 的 ? 

(3) 判断 NTU 正常 后 ,如 果 想 查看 连接 到 路 由 器 上 的 DB-60 串口 的 电缆 的 状态 ， 则 哪 
个 命令 可 以 查看 这 个 状态 ? 

(4) 路 由 器 与 DB-60 串口 连接 电缆 的 状态 如 下 所 示 ， 根 据 这 两 个 输出 找 出 问题 所 在 。 


HD unit 0,idb=0x96138,driver structure at 0x9A600 
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Buffer size 1524 HD unit 0,V.35 DCE cable 
Cpb=0x21,eda =0x4940,cda=0x4800 
RX ring with 16 entries at 0x214800 


1.5.4 同步 练习 参考 答案 


1. 答案 : 

从 近 到 远 逐 一 检查 与 连接 有 关 的 设备 ， 确 定 故障 位 置 ， 然 后 排除 故障 。 

连接 性 故障 可 能 发 生 在 OSI 七 层 中 的 任何 一 个 层次 ， 在 得 到 确认 前 ， 不 要 假定 连接 性 
的 任何 一 个 方面 或 者 任何 配置 是 正确 无 误 的 。 其 具体 的 步骤 如 下 。 

步骤 1: 检查 客户 机 和 服务 器 上 的 TCP/IP 地 址 和 默认 网 关 。 可 使 用 ipconfig/all 命令 。 

步骤 2: 确定 客户 机 或 服务 器 是 否 可 以 ping 通 它 们 的 默认 网 关 。 

步骤 3: 确认 客户 机 是 否 可 以 ping 通 服务 器 的 TCP/IP 地 址 和 主机 名 。 

步骤 4: 如 果 用 下 地 址 可 以 ping 通 但 用 主机 名 却 ping 不 通 ， 则 可 能 是 名 称 解 析 问 题 。 

步骤 5: 如 果 客 户 能 ping 通 服务 器 ， 但 无 法 和 应 用 建立 连接 ， 则 可 能 是 应 用 服务 未 启用 。 

2. 答案 : 

(1) 应 当 用 show running-config 命令 查看 当前 路 由 器 的 配置 文件 。 

(2) NTU 的 灯 应 当 是 绿色 的 。 

(3) show controllers。 

(4) 在 这 两 个 输出 中 ， 电 缆 显 示 的 状态 都 是 V.35 DCE， 而 这 里 需要 的 是 V.35 DTE 电 
缆 。 将 它们 修改 成 DTE 电缆 后 ， 串 口 将 立即 恢复 为 Interface Up、Protocol Up 状态 ， 这 时 就 
能 够 使 两 个 网 站 之 间 的 线路 进行 通信 了 。 


1.6 本 章 小 结 


本 章 知识 点 在 2014 年 的 新 大 纲 中 变化 较 小 ， 只 是 一 些 表述 方式 的 调整 。 

本 章 主要 介绍 了 网 络 规 划 设 计 中 的 主要 阶段 ， 包 括 网 络 需 求 分 析 、 网 络 设计 、 网 络 的 
构建 和 测试 、 网 络 的 运行 和 维护 以 及 网 络 系统 的 管理 和 评价 。 

本 章 内 容 在 网 络 规划 和 设计 中 是 很 重要 的 一 部 分 ， 也 是 大 纲 中 要 求 重点 掌握 的 内 容 。 


不 过 ， 从 最 近 5 年 的 考试 来 看 ， 直 接 涉及 的 知识 点 不 多 ， 然 而 在 往年 的 题目 中 ， 偶 尔 也 会 
间接 考查 到 。 所 以 ， 在 本 书 中 把 这 部 分 内 容 压缩 为 一 章 ， 供 读者 复习 时 参考 ， 希 望 考生 灵 
活 掌握 。 
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大 纲要 求 : 

4 交换 机 的 配置 ， 包 括 命令 行 接口 配置 、Web 方式 访问 交换 机 。 
9 VLAN 配置 。 

多 ”多 层 交 换 机 功能 和 机 制 。 


2.1 交换 机 的 基本 配置 


2.1.1 考点 辅导 


2.1.1.1 交换 机 的 特性 


局 域 网 交换 机 拥有 许多 端口 ， 每 个 端口 都 有 自己 的 专用 带宽 ， 并 且 可 以 连接 不 同 的 网 
段 。 交 换 机 各 个 端口 之 间 的 通信 是 同时 的 、 并 行 的 ， 这 就 大 大 提高 了 信息 吞吐 量 。 为 了 进 
一 步 提高 性 能 ， 每 个 端口 还 可 以 只 连接 一 个 设备 。 

为 了 实现 交换 机 之 间 的 互联 或 与 高 档 服务 器 的 连接 ， 局 域 网 交换 机 一 般 拥 有 一 个 或 几 
个 高 速 端口 ， 如 100Mbps 以 太 网 端口 、FDDI 端口 或 155Mbps ATM 端口 ， 从 而 保证 整个 网 
络 的 传输 性 能 。 

通过 集线器 共享 局 域 网 的 用 户 不 仅 是 共享 带宽 ， 而 且 是 竞争 带宽 。 可 能 由 于 个 别 用 户 
需要 更 多 的 带宽 而 导致 其 他 用 户 的 可 用 带宽 相对 减少 ， 甚 至 被 迫 等 待 ， 因 而 也 就 耽误 了 通 
信和 信息 处 理 。 利 用 交换 机 的 网 络 微分 段 技术 ， 可 以 将 一 个 大 型 的 共享 式 局 域 网 的 用 户 分 
成 许多 独立 的 网 段 ， 减 少 竞争 带宽 的 用 户 数量 ， 增 加 每 个 用 户 的 可 用 带宽 ， 从 而 缓解 共享 
网 络 的 拥挤 状况 。 由 于 交换 机 可 以 将 信息 迅速 而 直接 地 送 到 目的 地 ， 能 大 大 提高 速度 和 带 
宽 ， 能 保护 用 户 以 前 在 介质 方面 的 投资 ， 并 能 提供 良好 的 可 扩展 性 ， 因 此 交换 机 不 但 是 网 
桥 的 理想 替代 物 ， 而 且 是 集线器 的 理想 替代 物 。 

与 网 桥 和 集线器 相 比 ， 交 换 机 从 以 下 方面 改进 了 性 能 。 

4 ”通过 支持 并 行 通信 ， 提 高 了 交换 机 的 信息 吞吐 量 。 

% 将 传统 的 一 个 大 局 域 网 上 的 用 户 分 成 若干 工作 组 ， 每 个 端口 连接 一 台 设备 或 连接 
一 个 工作 组 ， 可 有 效 地 解决 拥挤 现象 。 人 们 称 这 种 方法 为 网 络 微分 段 (Micro- 
segmentation) 技 术 。 

4 ”虚拟 网 (Virtual LAN) 技 术 的 出 现 , 给 交换 机 的 使 用 和 管理 带 来 了 更 大 的 灵活 性 。 我 

们 将 在 后 面 专门 介绍 虚拟 网 。 

4 端口 密度 可 以 与 集线器 相 媲美 ， 一 般 的 网 络 系统 都 有 一 个 或 几 个 服务 器 ， 而 绝 大 
部 分 都 是 普通 的 客户 机 。 客 户 机 都 需要 访问 服务 器 ， 这 样 就 导致 服务 器 的 通信 和 
事务 处 理 能 力 成 为 整个 网 络 性 能 好 坏 的 关键 。 
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交换 机 主要 是 从 提高 连接 服务 器 的 端口 的 速率 以 及 相应 的 帧 缓冲 区 的 大 小 ， 来 提高 整 
个 网 络 的 性 能 ， 从 而 满足 用 户 的 要 求 。 一 些 高 档 的 交换 机 还 采用 全 双 工 技术 进一步 提高 端 
口 的 带宽 。 以 前 的 网 络 设备 基本 上 都 是 采用 半 双 工 的 工作 方式 ， 即 当 一 台 主机 发 送 数据 包 
的 时 候 ， 它 就 不 能 接收 数据 包 ， 当 接收 数据 包 的 时 候 ， 就 不 能 发 送 数据 包 。 由 于 采用 全 双 
工 技术 ， 即 主机 在 发 送 数据 包 的 同时 ， 还 可 以 接收 数据 包 ， 普 通 的 10 Mbps 的 端口 就 可 以 
变 成 20 Mbps 的 端口 ， 普 通 的 100 Mbps 的 端口 就 可 以 变 成 200 Mbps 的 端口 ， 这 样 就 进 一 
步 提高 了 信息 吞吐 量 。 

2.1.1.2 ”交换 机 的 工作 原理 


传统 的 交换 机 本 质 上 是 具有 流量 控制 能 力 的 多 端口 网 桥 ， 即 传统 的 (二 层 ) 交 换 机 。 把 路 
由 技术 引入 交换 机 ， 可 以 完成 网 络 层 的 路 由 选择 ， 故 称 为 三 层 交换 ， 这 是 交换 机 的 新 进展 。 
交换 机 (二 层 交 换 ) 的 工作 原理 和 网 桥 一 样 ， 是 工作 在 链 路 层 的 联网 设备 ， 它 的 各 个 端口 都 具 
有 桥接 功能 ， 每 个 端口 可 以 连接 一 个 LAN 或 一 台 高 性 能 网 站 或 服务 器 ， 能 够 通过 自学 习 来 
了 解 每 个 端口 的 设备 的 连接 情况 。 所 有 端口 由 专用 处 理 器 进行 控制 ， 并 经 过 控制 管理 总 线 
转发 信息 。 

同时 可 以 用 专门 的 网 管 软件 进行 集中 管理 。 除 此 之 外 ， 交 换 机 为 了 提高 数据 交换 的 束 
度 和 效率 ， 一 般 支 持 多 种 方式 。 

1. 存储 转发 


所 有 常规 网 桥 都 使 用 存储 转发 方法 。 它 们 在 将 数据 帧 发 往 其 他 端口 之 前 ， 要 把 收 到 的 
帧 完全 存储 在 内 部 的 存储 器 中 ， 对 其 检验 后 再 发 往 其 他 端口 ， 这 样 其 延 时 等 于 接收 一 个 完 
整 的 数据 帧 的 时 间 及 处 理 时 间 的 总 和 。 如 果 级 联 很 长 时 ， 会 导致 严重 的 性 能 问题 ， 但 这 种 
方法 可 以 过 滤 掉 错误 的 数据 帧 。 

2. 直通 转发 法 

直通 转发 法 只 检验 数据 帧 的 目标 地 址 ， 这 使 得 数据 帧 几乎 马上 就 可 以 传 出 去 ， 从 而 大 
大 降低 延 时 。 其 缺点 是 : 错误 帧 也 会 被 传 出 去 。 在 错误 帧 的 概率 较 小 的 情况 下 ， 可 以 采用 
切入 法 以 提高 传输 速度 。 而 在 错误 帧 的 概率 较 大 的 情况 下 ， 可 以 采用 存储 转发 法 以 减少 错 
误 帧 的 重 传 。 

2.1.1.3 ”交换 机 的 配置 

下 面 以 华为 公司 的 S5700 系列 交换 机 为 例 ， 介 绍 交换 机 的 一 般配 置 过 程 。 

1. 电缆 连接 及 终端 配置 

如 图 2-1 所 示 ， 接 好 PC 机 和 交换 机 各 自 的 电源 线 ， 在 关机 状态 下 ， 把 PC 机 的 串口 
1(COMD) 通 过 控制 台电 缆 与 交换 机 的 Console 端口 相连 ， 即 完成 设备 的 连接 工作 。 


口 品行 口 Console 口 2 


一 全] Console 线 


图 2-1 仿真 终端 与 交换 机 的 连接 
交换 机 Console 端口 的 默认 参数 如 下 。 
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端口 速率 ; 9600bps。 
数据 位 : 8。 
奇偶 校 验 码 : 无 。 
停止 位 : 1。 
4 ， 流 控 : 无 。 
在 配置 PC 机 的 超级 终端 时 只 需 保证 端口 属性 的 配置 参数 与 上 述 参数 相 匹配 即 可 。 以 
Windows 环境 下 的 Hyper Terminal 为 例 配 置 COM1 端口 属性 的 对 话 框 ， 如 图 2-2 所 示 。 


S 旬 多 


图 2-2 COM1 属性 


2. 交换 机 的 启动 

在 配置 好 终端 仿真 软件 后 ， 终 端 窗口 就 会 显示 交换 机 的 启动 信息 ， 显 示 交 换 机 的 版 权 
信息 和 软件 加 载 过 程 ， 直 到 出 现 提示 用 户 设置 登录 密码 。 

BIOS loading .… 

Enter Password: 


Confirm Password: 
<HUAWEI> 


完成 Console 登录 密码 设置 后 ， 用 户 便 可 以 配置 和 使 用 交换 机 。 
3. 交换 机 的 基本 配置 


在 默认 配置 下 ， 所 有 接口 处 于 可 用 状态 ， 并 且 都 属于 VLAN1， 这 种 情况 下 交换 机 就 可 
以 正常 工作 了 。 但 为 了 方便 管理 和 使 用 ， 首 先 应 对 交换 机 做 基本 的 配置 。 

配置 交换 机 的 设备 名 称 、 管 理 VLAN 和 TELNET， 在 对 网 络 中 交换 机 进行 管理 时 需要 
对 交换 机 进行 基本 配置 。 


<HUAWEI> 

<HUAWEI> system-view 

[HUAWEI] vlan 5 // 创 建交 换 机 管理 VLAN 5 
[HUAWEI-VLAN5] management-vlan 
[HUAWEI-VLANS5] quit 

[HUAWEI] interface vlanif 5 
[HUAWEI-Vlanif5] ip address 10.10.1.1 24 
[HUAWEI~vlanif5] quit 
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[HUAWEI] telnet server enable //Telnet 出 厂 时 是 关闭 的 ， 需要 打开 

[HUAWEI] user-interface vty 0 4 //Telnet 常用 于 设备 管理 员 登 录 ， 推 荐 使 用 AAA 认证 
[HUAWEI-ui-vty0-4] protocol inbound telnet //V2R6 及 之 前 版 本 缺 省 支持 telnet 
// 协 议 ， 但 是 V2R7 及 之 后 版 本 缺 省 的 是 SSH 协议 ， 因 此 使 用 telnet 登录 之 前 ， 必 须要 先 配置 这 条 命令 
[HURAWEI-ui-vty0-4] _ authentication-mode aaa 

[HUAWEI-ui-vty0-4] idle-timeout 15 

[HUAWEI-ui-vty0-4] quit 

[HUAWEI] aaa 

[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 
// 配 置 管理 员 Telnet 登录 交换 机 的 用 户 名 和 密码 。 用 户 名 不 区 分 大 小 写 ， 密 码 区 分 大 小 写 
[HUAWEI-aaa] local-user admin privilege level 15 // 将 管理 员 的 账号 权限 设置 为 15 (最 高 ) 


2.1.2 ”典型 例题 分 析 


例 1 阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 学 校 计 划 部 署 园 区 网 络 ， 本 部 和 分 校区 地 理 分 布 如 图 2-3 所 示 。 


二 


200; 

Mh ~ 分 校区 
ll 
实验 楼 


300 米 


300 米 


图 2-3 ”本校 和 分 校区 地 理 分 布 


根据 需求 分 析 结 果 ， 网 络 规划 部 分 要 求 如 下 。 
1. 网 络 中 心机 房 在 信息 中 心 。 
2. 要 求 汇聚 交换 机 到 核心 交换 机 以 千 兆 链 路 聚合 。 
3. 核心 交换 机 要 求 电源 、 引 擎 双 元 余 。 
4. 信息 中 心 与 分 校区 实现 互通 。 
【问题 1】(4 分 ) 
网 络 分 析 与 设计 过 程 一 般 采 用 五 个 过 阶段 : 需求 分 析 、 通 信 规 范 分 析 、 轴 辑 网 络 设计 、 
物理 网 络 设计 与 网 络 实施 。 其 中 确定 新 网 络 所 需 的 通信 量 和 通信 模式 属于 _(D _ 阶段 ; 确 
定 全 地 址 分 配方 案 属 于 _(2)_ 阶 段 ; 明确 网 络 物理 结构 和 布线 方案 属于 _ (3)_ 阶 段 ; 确定 
网 络 投资 规模 属于 _(4)_ 阶 段 。 
【问题 2】(9 分 ) 
根据 需求 分 析 ， 规 划 该 网 络 拓扑 如 图 2-4 所 示 。 
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图 2-4 网 络 拓扑 图 
1. 核心 交换 机 配置 如 表 2-1 所 示 ， 确 定 核心 交换 机 所 需 配 备 的 模块 最 低 数量 。 
表 2-1 核心 交换 机 配置 


设备 大 类 模块 描述 

以 太 网 交换 机 主机 

交换 路 由 引擎 

交流 电源 模块 ，1400W 

24 端口 千 兆 以 太 网 电 接口 板 (RJ-45) 

12 端口 千 兆 以 太 网 光 接口 板 (SFP，LC) 
SFP-GE 模块 (1310nm,，LC) 


2. 根据 网 络 需求 描述 、 网 络 拓扑 结构 、 核 心 交 换 机 设备 表 ， 图 2-4 中 的 介质 1 应 选 月 
_(9) ， 介 质 2 应 选用 _(10) ， 介 质 3 应 选用 _(11) 。 

问题 (9)~(11) 备 选 答案 : ( 注 : 每 项 只 能 选择 一 次 ) 

A. 单 模 光 纤 B. 多 模 光 纤 C.6 类 双 绞 线 。 D. 同 轴 电缆 

3. 为 了 网 络 的 安全 运行 ， 该 网 络 部 署 了 IDS 设备 。 在 图 2-4 的 设备 1、2、3、4 上 , 适 
合 部 署 IDS 设备 的 是 _(12) 及 (13) 。 

【问题 3】(4 分 ) 

该 校园 根据 需要 部 署 了 两 处 无 线 网 络 : 一 处 位 于 学 校 操场 ， 一 处 位 于 科研 楼 。 其 中 操 
场 的 无 线 AP 只 进行 用 户 认证 ， 科 研 楼 的 无 线 AP 只 进行 指定 用 户 的 接 入。 

1. 无 线 AP 分 为 FIT AP 和 FAT AP 两 种 。 为 了 便于 集中 管理 ， 学 校 的 无 线 网 络 采 用 了 
无 线 网 络 控制 器 , 所 以 该 学 校 的 无 线 AP 为 _(14) ”AP。 天 线 通常 分 为 全 向 天 线 和 定向 天 线 ， 
为 保障 操场 的 无 线 履 盖 范 围 ， 此 时 应 配备 _(153) 天 线 。 

2. 为 了 保证 科研 楼 的 无 线 AP 的 安全 性 ， 根 据 需 求 描述 ， 一 方面 需要 进行 用 户 认证 ， 
另 一 方面 还 需要 对 接 入 终端 的 _(16)_ 地 址 进行 过 滤 ， 同 时 为 保证 信息 传输 的 安全 性 ， 应 采用 
加 密 措 施 。 无 线 网 络 加 密 主要 有 WEP、WPA 和 WPA2 三 种 方式 目前, 安全 性 最 好 的 是 _(17) _。 

【问题 4】(3 分 ) 


核心 交换 机 


二 
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学 校 计划 采用 VPN 方式 实现 分 校区 与 本 部 的 互通 VPN 的 隧道 协议 主要 有 三 种 : PPTP、 
L2TP 和 IPSec,， 其 中 (18) 和 (19) 协议 工作 在 OSI 模 型 的 第 二 层 ， 又 称 为 二 层 隧 道 协 
议 ; _(20) 是 第 三 层 隧道 协议 。 

答案 : 

【问题 1】 

(1) 通信 规范 分 析 

(2) 逻辑 网 络 设计 

(3) 物理 网 络 设计 

(4) 需求 分 析 

【问题 2】 (5)2 个 (6)2 个 (71 个 (8)8 个 (9)C (OA (11)B (12) 设备 2 
(13) 设备 1 

【问题 3】 (14) FIT (15) 全 向 (16) MAC (17) WPA2 

【问题 4】 (18) PPTP (19)L2TP (20) IPSec 

解析 : 

【问题 1】 其 中 ， 确 定 新 网 络 所 需 的 通信 量 和 通信 模式 属于 通信 规范 分 析 阶 段 。 逻 辑 
设计 过 程 主要 由 4 个 步骤 组 成 : 确定 逻辑 设计 目标 、 网 络 服务 评价 、 技 术 选 项 评价 、 进 行 
技术 决策 。 确 定 卫 地 址 分 配方 案 属于 逻辑 网 络 设计 阶段 。 物 理 网 络 设计 是 逻辑 网 络 设计 的 
具体 实现 ， 通 过 对 设备 的 具体 物理 分 布 、 运 行 环境 等 的 确定 来 确保 网 络 的 物理 连接 符合 逻 
辑 设计 的 要 求 。 在 这 一 阶段 ， 网 络 设计 者 需要 确定 具体 的 软 硬 件 、 连 接 设备 、 布 线 和 服务 
的 部 署 方案 。 因 此 明确 网 络 物理 结构 和 布线 方案 属于 物理 网 络 设计 阶段 ; 确定 网 络 投资 规 
模 属于 需求 分 析 阶 段 。 

【问题 2〗】 根据 题 干 描述 可 知 ， 核 心 交换 机 要 求 电源 、 引 擎 双 宛 余 ， 而 且 要 求 汇聚 交 
换 机 到 核心 交换 机 以 千 光 链 路 聚合 。 所 以 核心 交换 机 的 交换 路 由 引擎 及 交流 电源 模块 最 低 
数量 为 2 个 。 根 据 拓扑 结构 图 ， 核 心 交换 机 下 共有 4 个 汇聚 交换 机 ， 而 汇聚 交换 机 到 核心 
交换 机 以 千 兆 链 路 聚合 ， 所 以 光 模 块 -SFP-GE- 单 模 模块 最 少 需 要 8 个 ，12 端口 千 兆 / 百 兆 以 
太 网 光 接 口 模块 最 少 需 要 1 个 。 

根据 网 络 需求 描述 、 网 络 拓扑 结构 、 核 心 交换 机 设备 表 ， 由 于 备 选 答案 每 项 只 能 选择 
一 次 ， 故 先 判 断 介质 2 必须 选择 单 模 光 纤 ， 介 质 3 只 能 选择 多 模 光 纤 ， 所 以 介质 1 只 能 选 
择 6 类 双 绞 线 。 

入 侵 检 测 系 统 是 一 个 监听 设备 ， 无 须 跨 接 在 任何 链 路 上 ， 不 产生 任何 网 络 流量 便 可 以 
工作 。 因 此 ， 部 署 IDS 的 唯一 的 要 求 是 ， 应 当 挂 接 在 所 关注 流量 必须 流 经 的 链 路 上 。 在 这 
里 ,“ 所 关注 流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 流量 ， 以 及 需要 统计 、 监 视 的 网 络 报 文 。 
目前 的 网 络 都 是 交换 式 的 拓扑 结构 ， 因 此 一 般 选 择 在 尽 可 能 靠近 攻击 源 ， 或 者 尽 可 能 接近 
受 保护 资源 的 地 方 ， 这 些 位 置 通常 是 : 服务 器 区 域 的 交换 机 上 、Internet 接 入 路 由 器 之 后 的 
第 一 台 交 换 机 上 、 重 点 保护 网 段 的 局 域 网 交换 机 上 。 所 以 ， 在 图 2-4 中 的 设备 1、2、3、4 
中 ， 适 合 部 署 DS 设备 1 和 设备 2。 

【问题 3】 FAT AP 无 线 网 路 解决 方案 可 由 FAT AP 直接 在 有 线 网 的 基础 上 构成 ， 所 有 
AP 都 单独 进行 配置 ， 且 难以 集中 管理 ; 而 FIT AP 无 线 网 络 解决 方案 则 是 由 无 线 网 路 控制 
器 和 FIT AP 在 有 线 网 的 基础 上 构成 ， 且 FIT AP 上 “ 零 配 置 >， 所 有 配置 都 集中 到 无 线 网 络 
控制 器 上 ， 易 于 集中 管理 。 室 外 全 向 天 线 将 信号 均匀 分 布 在 中 心 点 周围 360” 全 方位 区 域 ， 
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要 架 在 较 高 的 地 方 ， 适 用 于 连接 点 距离 较 近 ， 分 布 角度 范围 大 ， 且 数量 较 多 的 情况 。 室 外 
的 定向 天 线 的 能 量 聚 集 能 力 最 强 ， 信 和 号 的 方向 指向 性 极 好 。 因 此 ， 本 题 应 该 配备 全 向 天 线 。 
为 了 保证 科研 楼 的 无 线 AP 的 安全 性 ,根据 需求 描述 ,一 方面 需要 进行 用 户 认证 , 另 一 方面 
还 需要 对 接 入 终端 的 MAC 地 址 进行 过 滤 , 同时 为 保证 信息 传输 的 安全 性 , 应 采用 加 密 措 施 。 
无 线 网 络 加 密 主要 有 WEP、WPA 和 WPA2 三 种 方式 。 目 前， 安全 性 最 好 的 是 WPA2。 古 老 
的 “WEP” 加 密 方式 ， 在 安全 上 存在 着 若 被 第 三 者 恶意 截获 信号 密码 容易 被 破解 的 问题 。 
WPA2 是 WPA 的 升级 版 ， 现 在 新 型 的 网 卡 ，AP 都 支持 WPA2 加 密 。WPA2 则 采用 了 更 为 
安全 的 算法 。 

【问题 4】 二 层 隧 道 协议 主要 有 三 种 : PPTP(Point to Point Tunneling Protocol， 点 对 点 
隧道 协议 )、L2F(Layer 2 Forwarding， 二 层 转 发 协议 ) 和 L2TP(Layer 2 Tunneling Protocol， 二 
层 隧道 协议 )。 其 中 L2TP 结合 了 前 两 个 协议 的 优点 。 

三 层 隧道 协议 : 用 于 传输 三 层 网 络 协议 的 隧道 协议 ， 主 要 有 GRE 和 IPSec。 
例 2 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 5， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 学 校 有 3 个 校区 ， 校 区 之 间 最 远 距离 达到 61 千 米 ， 学 校 现在 需要 建设 校 
园 网 ， 具 体 要 求 如 下 : 校园 网 通过 多 运营 商 接 入 互联 网 ， 主 干 网 采用 千 兆 以太 网 将 3 个 校 
区 的 中 心 节点 连 起 来 ， 每 个 中 心 节点 都 有 财务 、 人 事 和 教务 3 类 应 用 。 按 应 用 将 全 网 划分 
为 3 个 VLAN，3 个 中 心 都 必须 支持 3 个 VLAN 的 数据 转发 。 路 由 器 用 光纤 连 到 校区 1 的 
中 心 节点 上 ， 距 离 不 超过 500 米 ， 网 络 结构 如 图 2-5 所 示 。 


a Intemet a 


图 2-5 网 络 拓扑 图 


【问题 1】(3 分 ) 
根据 题 意 和 图 2-5， 从 经 济 性 和 实用 性 出 发 填写 网 络 拓扑 图 中 所 用 的 传输 介质 和 设备 。 


空 (1)~~(3) 备 选 答案 : 
A. 3 类 UIP B. 5 类 UIP C. 6 类 UTP 
D. 单 模 光 纤 E. 多 模 光纤 F. 千 兆 以 太 网 交换 机 
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G. 百 兆 以 太 网 交换 机 H. 万 兆 以 太 网 交换 机 

【问题 2】(4 分 ) 

如 果 校 园 网 中 办 公 室 用 户 没有 移动 办 公 的 需求 ， 采 用 基于 (4) 的 VLAN 划分 方法 比 
较 合 理 ， 如 果 有 的 用 户 需 要 移动 办 公 ， 采 用 基于 _(5) 的 VLAN 划分 方法 比较 合适 。 
【问题 3】(6 分) 
图 2-5 中 所 示 的 交换 机 和 路 由 器 之 间 互 连 的 端口 类 型 全 部 为 标准 的 GBIC 端口 ， 表 2-2 
列 出 了 互 连 所 用 的 光 模块 的 参数 指标 , 请 根据 组 网 需求 从 表 2-4 中 选择 合适 的 光 模块 类 型 满 
足 合理 的 建 网 成 本 ，Router 和 S1 之 间 用 _(6) _ 互 连 ，S1 和 S2 之 间 用 _(7) _ 互 连 ，S1 和 
S3 之 间 用 _(8) 互 连 ，S2 和 S3 之 间 用 _(9) 互 连 。 

表 2-2 光 模 块 的 参数 指标 


支持 的 参数 指标 


i 
人 标 淮 Nm 


62.5/125 二 
模块 1 1000 BaseSX EE 多 模 , 价格 便宜 


62.5/125 
模块 2 1000 BaseLX/1000BaseLH | 1310 50/125 单 模 , 价格 稍 高 
让 二 


模块 3 1000 BaseZX [150 | [9n25 | 昂贵 


【问题 4】(3 分 ) 

如 果 将 Router 和 S1 之 间 互 连 的 模块 与 S1 和 S2 之 间 的 模块 互 换 , Router 和 S1 以 及 S1 
和 S2 之 间 的 网 络 是 否 能 连通 ? 

【问题 5】(4 分 ) 

若 VLAN3 的 网 络 用 户 因为 业务 需要 只 允许 从 ISP1 出 口 访问 Intemet, 在 路 由 器 上 需 进 
行 基于 _(10) 的 策略 路 由 配置 。 其 他 VLAN 用 户 访问 Internet 资源 时 ， 若 访问 的 是 ISP1 
上 的 网 络 资源 ， 则 从 ISP1 出 口 ; 若 访 问 的 是 其 他 网 络 资源 ， 则 从 ISP2 出 口 ， 那 么 在 路 由 器 
上 需 进行 基于 _ (11)_ 的 策略 路 由 配置 。 

答案 : 

【问题 1】 

(DE WD GF 
【问题 2】 
(4) 交换 机 端口 (5) MAC 地 址 
【问题 3】 
(6) 模块 1 (7) 模块 2 (8) 模块 3 (9) 模块 3 
【问题 4】 

Router 与 S1 通 ，S1 与 S2 不 通 ， 因 为 模块 2 的 传输 介质 兼容 多 模 光 纤 ， 模 块 1 的 传输 
介质 不 兼容 单 模 光 纤 。 
【问题 5】 
(10) 源 地 址 (11) 目的 地 址 
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解析 : 

【问题 1】(1) 题 中 说 明 路 由 器 用 光纤 连接 到 校区 1 的 中 心 节 点 上 , 距离 不 超过 500 米 ， 
应 采用 多 模 光 纤 。(2) 题 中 校区 之 间 最 远 距离 达到 61 千 米 ， 且 网 络 要 求 千 兆 干线 ， 所 以 应 采 
用 单 模 光 纤 。(3) 题 中 要 求 用 千 兆 以 太 网 将 3 个 校区 的 中 心 节点 连 起 来 ， 故 此 处 应 为 千 兆 以 
太 网 交换 机 。 

【问题 2〗】 根据 端口 来 划分 VLAN: 许多 VLAN 厂商 都 利用 交换 机 的 端口 来 划分 VLAN 
成 员 。 被 设 定 的 端口 都 在 同一 个 广播 域 中 。 根据 MAC 地 址 划分 VLAN: 对 每 个 MAC 地 址 
的 主机 都 配置 它 属 于 哪个 组 。 这 种 划分 VLAN 方法 的 最 大 优点 就 是 当 用 户 物理 位 置 移动 时 ， 
即 从 一 个 交换 机 换 到 其 他 的 交换 机 时 ，VLAN 不 用 重新 配置 。 

【问题 3】 Router 和 S1 之 间 是 多 模 光纤 ， 故 直接 选用 模块 1; S1 和 S2 之 间 是 单 模 光 
纤 ， 距 离 71 千 米 ， 选 用 价格 稍 高 的 模块 2 即 可 ; S1 和 S3 以 及 S2 和 S3 之 间 是 单 模 光纤 ， 
距离 分 别 为 57 千 米 、61 千 米 ， 选 用 价格 昂 责 的 模块 3。 

【问题 4】 Router 与 S1 通 ，S1 与 S2 不 通 ， 因 为 模块 2 的 传输 介质 兼容 多 模 光纤 ， 模 
块 1 的 传输 介质 不 兼容 单 模 光纤 。 

【问题 5〗】 若 只 允许 从 ISP1 出 口 访问 Intemet， 则 在 路 由 器 上 进行 基于 源 地 址 的 策略 
路 由 配置 。 若 访问 的 是 其 他 资源 ， 则 进行 基于 目的 地 址 的 配置 。 

例 3 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 单位 网 络 结构 如 图 2-6 所 示 ， 其 中 维护 部 通过 DDN 专线 远程 与 总 部 互通 。 


192.168.2.024 192.168.3.0/24 
图 2-6 网 络 拓扑 图 


【问题 1】(3 分 ) 
核心 交换 机 Switchl 的 部 分 配置 如 下 ， 请 根据 说 明和 网 络 拓扑 图 完成 下 列 配 置 。 
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Switchl (config)#interface vlan 1 

Switchl (config-if)#ip address 192.168.0.1 255.255.255.0 
Switchl (config-if)#no shutdown 

Switchl (config)#interface vlan 2 

Switchl (config-if)#ip address 192.168.1.1 255.255.255.0 
Switchl (config-if)#no shutdown 

Switchl (config)#interface vlan 3 

Switchl (config-if)#ip address 192.168.2.1 255.255.255.0 
Switchl (config-if)#no shutdown 

Switchl (config)#interface vlan 4 

Switchl (config-if)#ip address 192.168.3.1 255.255.255.0 
Switchl (config-if)#no shutdown 


Switchl (config-router) #ip route 0.0.0.0 


0.0 0.0.0.0 _() 
Switchl (config)#ip route (2) 255.255.255.0 


-G) _ 


【问题 2】(3 分 ) 
根据 网 络 拓扑 和 需求 说 明 ， 完 成 汇聚 交换 机 Switch2 的 部 分 配置 。 


Switch2 (config)#interface fastEthernet 0/0 
Switch2 (config-if)#switchport mode -0 
Switch2 (config-if)#no shutdown 

Switch2 (config)#interface fastEthernet 0/1 
Switch2 (config-if)#switchport mode _(3) 
Switch2 (config-if)#switchport access (6)_ 
Switch2 (config-if)#no shutdown 


【问题 3】(9 分 ) 
根据 网 络 拓扑 和 需求 说 明 ， 完 成 (或 解释 ) 路 由 器 router2 的 部 分 配置 。 


R2 (config-if)#interface ethernet0 
R2 (config-if)#ip address .7 (8). 
R2 (config-if)#no shutdown 

R2 (config-if)#interface Serial0 
R2 (config-if)#ip address _(9) _(10) 
R2 (config-if)#no shutdown 


R2 (config)#ip route 0.0.0.0 0.0.0.0 (1D 

R2 (config)#ip route .(12) 255.255.255.0 _(13) 

R2 (config)#snmp-server community publicr ro// _(4) 
R2 (config)#snmp-server community publicw rw// _(15) 


【问题 4】(5 分 ) 
按照 图 2-6 所 示 ， 设 置 防火 墙 各 接口 的 他 地址， 并 根据 配置 说 明 ， 完 成 下 面 的 命令 。 
PIX(config)#interface ethernet0 auto 


PIX(config)#interface ethernetl1 100full 
PIX(config)#interface ethernet2 100full 


PIX(config)#ip address outside _(16) _(17) // 设 置 外 网 接口 IP 
PIX (config)#ip address inside 192.168.0.2 255.255.255.0 ”// 设 置 内 网 接口 IP 
PIX(config)#ip address dmz (18) 255.255.255.0 // 设 置 DMz 接口 


PIX(config)#global (outside)1 224.4.5.1-224.4.5.6// 指 定 公 网 地 址 范围 ,定义 地 址 池 
PIX(config)# _(19) // 表 示 内 网 的 所 有 主机 都 可 以 访问 外 网 
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PIX(config)#route outside 0 0 _(20) // 设 置 默 认 路 由 


答案 : 
【问题 1】 
(1) 192.168.0.2 (2) 192.168.4.0 (3) 192.168.1.2 
【问题 2】 
(4)trunk (5)access (6)vlan3 
【问题 3】 
(7) 192.168.1.2 (8)255.255.255.0 (9) 192.168.5.1 (10)255.255.0.0 
(11) 192.168.1.1 (12)192.168.4.0 (13) 192.168.6.1 
(14) 设置 snmp-server 的 只 读 团 体 名 为 publicr 
(15) 设置 snmp-server 的 读 写 团体 名 为 publicew 
【问题 4】 
(16) 224.4.5.1 (17) 255.255.255.248 (18) 10.10.10.2 
(19) nat(inside) 1 0 或 natGinside)1 0.0.0.0 0.0.0.0 。 (20) 224.4.5.2 
解析 : 
【问题 1〗 配置 默认 路 由 ， 使 访问 外 网 任意 流量 的 下 一 跳 指向 192.168.0.2; 配置 静态 
路 由 ， 使 访问 192.168.4.0 网 段 的 流量 下 一 跳 指向 192.168.1.2。 
【问题 2】 交换 机 Switch2 的 端口 工作 在 帧 中 继 模式 下 ， 空 (4) 为 配置 Trunk 模式 。 空 
(5) 是 配置 端口 模式 ， 故 填 access; 空 (6) 处 要 求 把 端口 分 配给 VLAN 3， 故 填 vlan 3。 
【问题 3】 空 (7) 处 为 E0 端口 的 他 地 址 192.168.1.2/24， 子 网 掩 码 为 255.255.255.0; 空 
(9) 处 为 S0 端口 的 他 地 址 192.168.5.1/16， 子 网 掩 码 为 255.255.0.0; 空 (11) 处 配置 默认 路 由 ， 
使 访问 外 网 任意 流量 的 下 一 跳 指 向 192.168.1.1; 空 (12)、(13) 处 是 配置 静态 路 由 ， 使 访问 
192.168.4.0 网 段 的 流量 下 一 跳 指 向 192.168.6.1; publicr ro 即 设置 snmp-server 的 读 写 团体 名 
为 publicr; publicew rw 即 设置 snmp-server 的 读 写 团体 名 为 publicw。 
【问题 4】 设置 外 网 接口 耳 为 224.4.5.1/29， 子 网 掩 码 为 255.255.255.248; 设置 DMZ 
接口 耳 为 10.10.10.2/24， 子 网 掩 码 为 255.255.255.0; 设置 内 网 主机 都 可 访问 外 网 的 命令 为 
nat(inside) 1 0; 设置 默认 路 由 为 224.4.5.2/29。 
例 4 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 
某 学 校 计划 部 署 校园 网 络 ， 其 建筑 物 分 布 如 图 2-7 所 示 。 
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根据 需求 分 析 结 果 ， 校 园 网 规划 要 求 如 下 。 
(1) 信息 中 心 部 署 在 图 书馆 。 


个 点 。 
(3) 为 满足 以 后 应 用 的 需求 ， 要 求 核心 交换 机 到 汇聚 交换 机 以 千 兆 链 路 聚合 ， 同 时 千 
兆 到 桌面 。 

(4) 学 校 信息 中 心 部 署 服务 器 ， 根 据 要 求 ， 一 方面 要 对 服务 器 有 完善 的 保护 措施 ， 另 
一 方面 要 对 内 外 网 分 别提 供 不 同 的 服务 。 

(5) 部 署 流 控 网 关 对 P2P 流量 进行 限制 ， 以 保证 正常 上 网 需求 。 

【问题 1】 

根据 网 络 需求 ， 设 计 人 员 设 计 的 网 络 拓扑 结构 如 图 2-8 所 示 。 


Internet 
设备 @ @ 


> 


2-8 ”网 络 拓扑 结构 图 
请 根据 网 络 需 求 描述 和 网 络 拓 扑 结 构 回答 以 下 问题 。 


图 2-8 中 设备 应 为 1) ,设备 @ 应 为 (2) ， 设 备 @ 应 为 3) ， 设 备 @ 应 为 (4) 。 
A. 路 由 器 B. 核心 交换 机 C. 流 控 服务 器 D. 防火 墙 


设备 @ 应 该 接 在 _(5) 上 。 
【问题 2】 
根据 题目 说 明和 网 络 拓扑 图 ， 在 图 2-8 中 ， 介 质 1 应 选用 _(6) ， 介 质 2 应 选用 _(7) ， 
介质 3 应 选用 _(8) 。 
A. 单 模 光 纤 B. 多 模 光 纤 C. 6 类 双 绞 线 D. 5 类 双 绞 线 


根据 网 络 需 求 分 析 和 网 络 拓扑 结构 图 ， 所 有 接 入 交换 机 都 直接 连接 汇聚 交换 机 ， 本 校 
园 网 中 至 少 需 要 _(9) 台 24 口 的 接 入 交换 机 (不 包括 服务 器 使 用 的 交换 机 )。 

【问题 3】 

交换 机 的 选 型 是 网 络 设计 的 重要 工作 ， 而 交换 机 的 背 板 带宽 、 包 转发 率 和 交换 容量 是 
其 重要 技术 指标 。 其中， 交换 机 进行 数据 包 转 发 的 能 力 称 为 _10) ,交换 机 端口 处 理 器 和 数 
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据 总 线 之 间 单 位 时 间 内 所 能 传输 的 最 大 数据 量 称 为 _11) 。 某 交换 机 有 24 个 固定 的 千 光 端 
， 其 端口 总 带宽 为 (12) Mbps。 

【问题 4】 

根据 需求 分 析 , 图 书馆 需要 支持 无 线 网 络 接 入 , 其 部 分 交换 机 需要 提供 POE 功能 , POE 
的 标准 供电 电压 值 为 -13) 。 


A.58V B.12V C.48V D.110V 

答案 : 

【问题 1】 

(1) A 或 路 由 器 (2) C 或 流 控 服务 器 (3) B 或 核心 交换 机 (4) D 或 防火 墙 

(5) 核心 交换 机 或 设备 @ 

【问题 2】 

(6) A 或 单 模 光 纤 ”(7)C 或 6 类 双 绞 线 (8)B 或 多 模 光纤 (9) 35 

【问题 3】 

(10) 包 转 发 率 ”(11) 背 板 带宽 。 (12) 48 000 

【问题 4】 

(13)C 或 48V 

解析 : 

【问题 1】 路 由 器 是 工作 在 OSI 标准 模型 的 第 三 层 一 一 网 络 层 的 数据 包 转发 设备 , 它 通 
过 转发 数据 包 来 实现 网 络 互 连 。 路 由 器 通常 连接 两 个 或 多 个 由 也 子 网 或 点 到 点 协议 标识 的 
逻辑 端口 ， 至 少 拥有 1 个 物理 端口 。 而 设备 QD 起 到 的 作用 是 将 此 了 全 子 网 连接 到 网 络 中 去 ， 
所 以 设备 四 应 为 路 由 器 。 

由 于 网 络 要 求 部 署 流 控 网 关 对 P2P 流量 进行 限制 ， 以 保证 正常 上 网 需求 ， 所 以 设备 @ 
是 流 控 服 务 器 。 


设备 @ 是 核心 交换 机 ， 连 接 局 域 网 接 入 交换 机 。 
信息 中 心 部 署 在 图 书馆 ， 学 校 信息 中 心 部 署 服务 器 ， 根 据 要 求 ， 一 方面 要 对 服务 器 有 
完善 的 保护 措施 ， 另 一 方面 要 对 内 外 网 分 别提 供 不 同 的 服务 ， 所 以 应 对 信息 中 心 部 署 防火 
墙 ， 即 设备 @ 为 防火 墙 ， 部 署 在 核心 交换 机 上 。 
【问题 2】 常 用 传输 介质 的 特性 如 表 2-3 所 示 。 
表 2-3 传输 介质 的 特性 表 


传输 介质 子 类 特点 及 应 用 
3 类 UIP 10 Base-T(10 M)、 令 牌 环 (16 M)、 电 话 
5 类 UTP 100 Base-T (100 M) 
双 绞 线 超 5 类 UTP 100 Base-T(100 M、ATM(155 M) 
6 类 UTP 1000 Base-T(1000 M) 
STP 外 加 屏蔽 层 ， 施 工 困 难 
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传输 介质 特点 及 应 用 
阻抗 50 Q， 细 线 用 于 10 Base-2， 粗 缆 用 于 10 Base-5 
宽带 同 轴 电 绕 阻抗 75 Q， 用 于 CATV 
多 模 光 纤 适合 于 近 距 离 传 输 ， 价 格 便宜 
较 高 的 传输 率 、 较 长 的 传输 距离 、 较 高 的 成 本 


同 轴 电 绕 


光纤 


因为 要 求 核心 交换 机 到 汇聚 交换 机 以 千 光 链 路 聚合 , 同时 千 光 到 桌面 , 所 以 将 5 类 UTP 
排除 。 介 质 1 连接 核心 交换 机 和 接 入 交换 机 ， 传 输 距离 较 长 ， 需 要 较 高 的 传输 率 ， 所 以 使 
用 单 模 光纤 ; 介质 2 连接 网 络 接 入 交换 机 和 内 部 接 入 交换 机 ， 为 短 距离 传输 ， 所 以 使 用 6 
类 UTP; 食堂 到 宿舍 的 接 入 交换 机 为 近 距离 传输 ， 可 使 用 多 模 光纤 。 

由 于 实验 楼 、 办 公 楼 、 图 书馆 、 学 生 宿 使 分 别 有 一 个 接 入 交换 机 ， 总 共 需 要 4 个 网 络 
接 入 交换 机 。 实 验 楼 237 个 点 ， 需 要 10 个 内 部 接 入 交换 机 ; 办公 楼 87 个 点 ， 需 要 3 个 内 
部 接 入 交换 机 ; 学 生 宿舍 422 个 点 , 需要 18 个 内 部 接 入 交换 机 ; 食堂 直接 用 其 他 剩余 端口 ， 
则 总 共 需 要 的 交换 机 数目 为 4+10+3+18=35。 

【问题 3〗】 包 转 发 率 是 指 基于 64 字 节 分 组 ， 在 单位 时 间 内 交换 机 转发 的 数据 总 数 。 
转发 速率 体现 了 交换 引擎 的 转发 性 能 。 端 口 吞吐 量 反 映 端 口 的 分 组 转发 能 力 。 交 换 机 背 板 
是 设计 值 ， 可 以 大 于 等 于 交换 容量 (此 为 达到 线 速 交换 机 的 一 个 标准 )。 厂 家 在 设计 的 时 候 考 
虑 了 将 来 模块 的 升级 ， 比 如 模块 从 开始 的 百 光 升级 到 支持 千 兆 、 万 兆 ， 端 口 密度 增加 等 。 
背 板 带宽 多 指 模块 化 交换 机 。 它 决定 了 各 模板 与 交换 引擎 间 的 连接 带宽 的 最 高 上 限 ， 是 交 
换 机 接口 处 理 器 或 接口 卡 和 数据 总 线 间 所 能 吞吐 的 最 大 数据 量 。 背 板 带 宽 标 志 了 交换 机 总 
的 数据 交换 能 力 ， 单 位 为 Gbps， 也 叫 交换 带宽 。 

总 带宽 = 端口 数 x 端 口 速率 x2( 全 双 工 模式 )， 所 以 总 带宽 为 24x1000 Mbpsx2=48 000 Mbps。 

【问题 4】 空 (13)POE 标准 供电 系统 的 主要 供电 特性 参数 为 : 
电压 在 44~57V， 典 型 值 为 48 V。 
允许 最 大 电流 为 550 mA， 最 大 启动 电流 为 500 mA。 
典型 工作 电流 为 10~350 mA， 超 载 检测 电流 为 350~500 mA。 

在 空 载 条 件 下 ， 最 大 需要 电流 为 5 mA。 
为 PD 设备 提供 3.84~12.95 W 五 个 等 级 的 电功率 请 求 ， 最 大 不 超过 13 W。 


QOQOeOoO 


2.1.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 学 校 计 划 建立 校园 网 ， 拓 扑 结构 如 图 2-9 所 示 。 该 校园 网 分 为 核心 、 汇 聚 、 
接 入 三 层 ， 由 交换 模块 、 广 域 网 接 入 模块 、 远 程 访问 模块 和 服务 器 群 四 大 部 分 构成 。 
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图 2-9 网 络 拓扑 结构 图 


【问题 1】(5 分 ) 

在 校园 网 设计 过 程 中 ， 划 分 了 很 多 VLAN, 采用 了 VTP 来 简化 管理 。 将 (1)~(5) 处 空缺 
信息 填写 在 答题 纸 对 应 的 解答 栏 内 。 

VIP 信息 只 能 在 _Q) 端口 上 传播 。 

运行 VIP 的 交换 机 可 以 工作 在 三 种 模式 下 : _(2) 、_(3) 、_(4) 。 

共享 相同 VLAN 数据 库 的 交换 机 构成 一 个 (5) 。 

【问题 2】(4 分 ) 

该 校园 网 采用 了 异步 拨号 进行 远程 访问 ， 异 步 封 装 协议 采用 了 PPP 协议 。 将 (6) 一 (9) 处 
空缺 信息 填写 在 答题 纸 对 应 的 解答 栏 内 。 

异步 拨号 连接 属于 远程 访问 中 的 电路 交换 服务 ， 远 程 访 问 中 另外 两 种 可 选 的 服务 类 型 
是 : _(6) 和 (7) 。 

PPP 提供 了 两 种 可 选 的 身份 认证 方法 ， 它 们 分 别 是 _(8) 和 _(9) 。 

【问题 3】(2 分 ) 

该 校园 网 内 交换 机 的 数量 较 多 ， 交 换 机 间 链 路 复杂 ， 为 了 防止 出 现 环 路 ， 需 要 在 各 交 
换 机 上 运行 (10) 。 

【问题 4】(4 分 ) 

该 校园 网 在 安全 设计 上 采用 分 层 控制 方案 ， 将 整个 网 络 分 为 外 部 网 络 传输 控制 层 、 内 
外 网 间 访 问 控制 层 、 内 部 网 络 访问 控制 层 、 操 作 系统 及 应 用 软件 层 和 数据 存储 层 ， 对 各 层 
的 安全 采取 不 同 的 技术 措施 。 从 备 选 答案 中 选择 信息 ， 将 (11)~(14) 处 空缺 信息 填写 在 答题 
纸 对 应 的 解答 栏 内 。 


对 应 层次 
外 部 网 络 传输 控制 层 


内 外 网 间 访 问 控制 层 


内 部 网 络 访问 控制 导 
Loo 数据 存储 层 | 
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(1 一 (14) 备 选 答案 : 
A. IP 地址 绑 定 B. 数据 库 安全 扫描 
C. 虚拟 专用 网 (VPN) 技 术 D. 防火 墙 


2.1.4 同步 练习 参考 答案 


答案 : 
【问题 1】 
(1) Trunk 
(2) VTP Server 或 服务 器 模式 
(3) VTP Client 或 客户 端 模 式 
(4) VTP Transparent 或 透明 模式 
说 明 : (2)、(3)、(4) 处 答案 次 序 任意 。 
(5) VTP 管理 域 
【问题 2】 
(6) 专线 连接 
(7) 分 组 交换 
说 明 : (6)、(7) 处 答案 可 以 互 换 。 
(8) 口令 认证 协议 (Password Authentication Protocol，PAP) 
(9) 质询 握手 认证 协议 (Challenge Handshake Authentication Protocol，CHAP) 
说 明 ; (8)、(9) 处 答案 可 以 互 换 。 
【问题 3】 
(10) 生成 树 协议 (Spanning Tree Protocol，STP) 
【问题 4】 
(11) C 或 虚拟 专用 网 (VPN) 技 术 
(12) D 或 防火 墙 
(13) A 或 他 地 址 绑 定 
(14) B 或 数据 库 安全 扫描 


2.2 ”VLAN 的 配置 


2.2.1 考点 辅导 


虚拟 局 域 网 (Virtual Local Area Network, VLAN) 技 术 的 出 现 和 局 域 网 交换 技术 是 分 不 开 
的 。 局 域 网 交换 技术 使 用 户 抛弃 了 传统 的 总 线 技术 ， 并 在 一 定 范围 内 代替 了 人 们 早已 熟知 
的 共享 型 介质 。 

VLAN 为 本 地 网 提供 了 一 种 解决 方案 。VLAN 中 仍然 需要 路 由 器 ， 仍 然 存在 着 广播 流 
量 。 不 同 的 是 ， 在 我 们 将 交换 技术 和 VLAN 技术 相 结合 后 ， 网 段 中 的 用 户 可 以 很 少 ， 甚 至 
可 以 只 有 一 个 用 户 (一 台 主 机 )， 而 广播 域 则 能 大 到 包含 上 千 个 用 户 。 另 外 ， 如 果 使 用 得 当 ， 
VLAN 中 的 工作 站 可 以 移动 到 新 的 物理 位 置 而 不 需要 重新 配置 任何 参数 。 
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2.2.1.1 VLAN 的 功能 


VLAN 是 指 在 交换 局 域 网 的 基础 上 ， 采 用 网 络 管理 软件 构建 可 跨越 不 同 网 段 、 不 同 网 
络 的 端 到 端的 逻辑 网 络 。 一 个 VLAN 组 成 一 个 逻辑 子 网 ， 即 一 个 逻辑 广播 域 ， 它 可 以 覆盖 
多 个 网 络 设备 ， 允 许 处 于 不 同 地 理 位 置 的 网 络 用 户 加 入 到 一 个 逻辑 子 网 中 。 

VLAN 是 建立 在 物理 网 络 基础 上 的 一 种 逻辑 子 网 ， 因 此 建立 VLAN 需要 相应 的 支持 
VLAN 技术 的 网 络 设备 。 当 网 络 中 的 不 同 VLAN 间 进 行 相 互通 信 时 ， 需 要 路 由 的 支持 ， 这 
时 就 需要 增加 路 由 设备 。 要 实现 路 由 功能 ， 既 可 采用 路 由 器 ， 也 可 采用 三 层 交 换 机 来 完成 。 

在 使 用 带宽 、 灵 活性 、 性 能 等 方面 ，VLAN 都 显示 出 很 大 优势 。 在 VLAN 中 能 够 方便 
地 进行 用 户 的 增加 、 删 除 、 移 动 等 操作 ， 提 高 网 络 管理 的 效率 。VLAN 具有 以 下 功能 。 

1. 控制 广播 风暴 

一 个 VLAN 就 是 一 个 逻辑 广播 域 ， 通 过 对 VLAN 的 创建 ， 隔 离 了 广播 ， 缩 小 了 广播 范 
围 ， 可 以 控制 广播 风暴 的 产生 。 广 播 流量 被 限制 在 软 定义 的 边界 内 ， 从 而 提高 了 网 络 的 安 
全 性 。 

2. 提高 网 络 整体 安全 性 

通过 路 由 访问 列表 和 MAC( 传 输 媒体 访问 控制 ) 地 址 分 配 VLAN 划分 原则 ， 可 以 控制 用 
户 访问 权限 和 逻辑 网 段 大 小 ， 将 不 同 用 户 群 划分 在 不 同 的 VLAN 中 ， 从 而 提高 交换 式 网 络 
的 整体 性 能 和 安全 性 。 此 外 ， 在 相同 VLAN 内 的 主机 间 传 送 的 数据 不 会 影响 到 其 他 VLAN 
上 的 主机 ， 因 此 减少 了 数据 窃听 的 可 能 性 ， 极 大 地 增强 了 网 络 的 安全 性 。 

3. 网 络 管理 简单 、 直 观 

对 于 交换 式 以 太 网 ， 如 果 对 某 些 用 户 重新 进行 网 段 分 配 ， 需 要 网 络 管理 员 对 网 络 系统 
的 物理 结构 重新 进行 调整 ， 甚 至 需要 追加 网 络 设备 ， 从 而 增 大 网 络 管理 的 工作 量 。 而 对 于 
采用 VLAN 技术 的 网 络 来 说 ， 一 个 VLAN 可 以 根据 部 门 职能 、 对 象 组 成 或 者 应 用 将 不 同 地 
理 位 置 的 网 络 用户 划 分 为 一 个 逻辑 网 段 。 在 不 改动 网 络 物理 连接 的 情况 下 可 以 任意 地 将 工 
作 站 在 工作 组 或 子 网 之 间 移 动 。 使 用 VLAN 技术 , 可 大 大 减轻 网 络 管理 和 维护 工作 的 负担 ， 
降低 网 络 维护 费用 。 在 一 个 交换 网 络 中 ，VLAN 提供 了 网 段 和 机 构 的 弹性 组 合 机 制 。 


2.2.1.2 VLAN 的 机 制 


VLAN 是 一 种 软 技术 ， 其 如 何 分 类 ， 将 决定 此 技术 在 网 络 中 能 否 发 挥 出 预期 作用 。 常 
见 的 VLAN 分 类 有 3 种 : 基于 端口 、 基 于 MAC 地 址 和 基于 网 络 层 。 


1. 基于 端口 


基于 端口 的 VLAN 划分 是 比较 流行 的 ， 也 是 最 早 的 划分 方式 ， 其 特点 是 将 交换 机 按照 
口 进行 分 组 ， 每 一 组 定义 为 一 个 VLAN。 这 些 交 换 机 端口 分 组 可 以 在 一 台 交 换 机 上 ， 也 
以 跨越 几 个 交换 机 。 

目前 端口 分 组 是 定义 VLAN 成 员 最 常用 的 方法 ， 而 且 配 置 也 相当 直截了当 。 纯 粹 用 端 
口 分 组 来 定义 VLAN， 不 容许 多 个 VLAN 包含 同一 个 实际 交换 机 端口 。 用 端口 定义 VLAN 
的 主要 局 限 是 : 使 用 不 够 灵活 ， 当 用 户 从 一 个 端口 移 到 另 一 个 端口 时 ， 网 络 管理 员 必须 重 
新 配置 VLAN 成 员 。 


马 蔡 
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2. 基于 MAC 地 址 


基于 硬件 MAC 地 址 定义 的 VLAN 既 有 优点 又 有 缺点 。 由 于 数据 链 路 层 的 MAC 地 址 是 
硬 连 接 到 工作 站 的 网 络 界面 卡 (NIC) 上 的 ， 所 以 基于 MAC 地 址 的 VLAN 使 网 络 管理 者 能 够 
把 网 络 上 的 工作 站 移动 到 不 同 的 实际 位 置 ， 而 且 可 以 让 这 台 工 作 站 自动 地 保持 它 原 有 的 
VLAN 成 员 资格 。 按 照 这 种 方式 ， 由 硬件 MAC 地 址 定义 的 VLAN 可 以 被 视 为 基于 用 户 的 
VLAN。 
在 这 种 方式 的 VLAN 中 ， 交 换 机 对 终端 的 MAC 地 址 和 交换 机 端口 进行 跟踪 。 在 新 终 
端 入 网 时 , 根据 已 经 定义 的 VLAN-MAC 对 应 表 将 其 划 归 某 一 个 VLAN。 无 论 该 终端 在 网 络 
中 怎样 移动 ， 由 于 其 MAC 地 址 保持 不 变 ， 故 不 需 进 行 VLAN 的 重新 配置 。 这 种 划分 方式 
减少 了 网 络 管理 员 的 日 常 维护 工作 量 ， 不 足 之 处 在 于 所 有 的 终端 必须 被 明确 地 分 配 在 一 个 
具体 的 VLAN， 任 何 时 候 增加 终端 或 者 更 换 网 卡 ， 都 要 对 VLAN 数据 库 进行 调整 ， 以 实现 
对 该 终端 的 动态 跟踪 。 

基于 MAC 地 址 的 VLAN 解决 方案 的 缺点 之 一 是 要 求 所 有 的 用 户 必 须 初始 配置 在 至 少 
一 个 VLAN 中 。 在 初始 手工 配置 之 后 ， 用 户 的 自动 跟踪 才 有 可 能 实现 。 然 而 ， 这 种 不 得 不 
在 一 开始 就 先 用 人 工 配置 VLAN 的 方法 的 缺点 在 一 个 非常 大 的 网 络 中 变 得 非常 明显 : 几 千 
个 用 户 必须 逐个 地 分 配 到 各 自 特定 的 VLAN 中 。 

3. 基于 网 络 层 

基于 网 络 层 的 VLAN 划分 也 叫 作 基于 策略 (Policy) 的 划分 ， 是 这 几 种 划分 方式 中 最 高 级 
也 是 最 复杂 的 。 基 于 网 络 层 的 VLAN 使 用 协议 (如 果 网 络 中 存在 多 协议 的 话 ) 或 网 络 层 地 址 
(如 TCP/IP 中 的 子 网 段 地 址 ) 来 确定 网 络 成 员 。 

在 VLAN 中 应 用 最 广 的 就 是 VTP 和 STP 技术 。 VTP(VLAN Trunking ProtocoD) 用 于 保持 
VLAN 配置 的 统一 性 。VTP 在 系统 级 管理 VLAN 的 增加 、 删 除 、 调 整 时 ， 自 动 地 将 信息 向 
网 络 中 其 他 的 交换 机 广播 。 此 外 ，VTP 减少 了 可 能 导致 安全 问题 的 配置 。 

VTP 的 运行 有 3 种 模式 : 服务 器 模式 、 客 户 模式 和 透明 模式 。 当 交换 机 处 在 VIP 服务 
器 模式 或 透明 模式 时 ， 网 管 员 能 够 在 交换 机 上 配置 VLAN。 网管 员 通过 使 用 CLI、 控 制 台 菜 
单 、MIB( 使 用 SNMP 简单 网 络 管理 协议 管理 工作 站 ) 来 修改 VLAN 配置 。 

一 个 配置 为 VIP 服 务 器 模式 的 交换 机 向 邻近 的 交换 机 广播 VLAN 配置 时 , 它 通过 Trunk 
端口 ， 从 邻近 的 交换 机 学 习 新 的 VLAN 配置 。 例 如 : 当 网 络 增加 了 一 个 VLAN 时 ，VTP 就 
将 广播 这 个 新 的 VLAN, 服务 器 和 客户 端的 Trunk 网 络 端口 就 准备 接收 VLAN 的 相关 信息 。 

在 交换 机 自动 转 到 VTP 的 客户 模式 后 , 它 会 传送 广播 信息 , 并 从 广播 中 学 习 新 的 信息 。 
但 是 ， 它 不 能 通过 MIB( 管 理 信息 库 ) 控 制 台 菜单 来 增加 、 删 除 、 修 改 VLAN。VTP 客户 端 
不 能 将 VLAN 信息 保存 在 非 易 失 存储 器 NVRAM) 中 。 当 设备 启动 时 ， 它 会 通过 Trunk 网 络 
端口 接收 广播 信息 ， 学 习 配置 信息 。 

在 VTP 透明 模式 中 ， 交 换 机 不 作 广播 或 从 网 络 学 习 VLAN 配置 ， 但 可 以 通过 控制 台 、 
CLI、MIB 来 修改 、 增 加 和 删除 VLAN。 

为 了 使 VLAN 能 够 使 用 ， 必 须 使 VTP 知道 其 存在 ， 并 且 VLAN 的 相关 信息 要 包含 在 
Trunk 端口 的 准许 列表 中 。 一 个 快速 以 太 网 Trunk 端口 自动 为 VLAN 传输 数据 , 并 且 是 从 一 
个 交换 机 传 到 另 一 个 交换 机 。 

而 STP(Spanning Tree Protocol) 则 能 够 提供 路 径 元 余 ， 并 且 可 以 使 两 台 交 换 机 中 只 有 一 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


条 有 效 路 径 。 

STP 在 桥接 (或 交换 ) 网 络 中 定义 了 一 棵 树 ， 并 且 和 迫使 一 定 的 备份 路 径 处 于 备用 状态 。 如 
果 生 成 树 中 的 网 络 一 部 分 不 可 达 , 或 者 STP 值 变化 了 , 生成 树 算法 会 重新 计算 生成 树 拓扑 ， 
并 且 通 过 启动 备份 路 径 来 重新 建立 连接 。STP 操作 对 于 交换 机 来 说 是 透明 的 ， 而 不 管 交 换 
机 是 连 在 VLAN 的 某 一 部 分 还 是 多 个 部 分 。 
当 创 建 网 络 时 ， 如 果 网 络 中 所 有 节点 都 存在 多 条 路 径 ， 则 生成 树 中 的 算法 可 以 计算 出 
最 佳 路 径 。 因 为 每 个 VLAN 是 一 个 逻辑 局 域 网 部 分 ， 所 以 网 管 员 可 以 使 用 STP 工作 在 多 个 
VLAN 中 。 

2.2.1.3 ”交换 机 的 常见 配置 


VLAN 技术 上 是 交换 技术 的 重要 组 成 部 分 ， 也 是 交换 机 配置 的 基础 。 它 用 于 把 物理 上 
直接 相连 的 网 络 从 逻辑 上 划分 为 多 个 子 网 。 每 一 个 VLAN 对 应 着 一 个 广播 域 ， 处 于 不 同 
VLAN 上 的 主机 不 能 进行 通信 , 不 同 VLAN 之 间 的 通信 要 引入 第 三 层 交 换 技术 才 可 以 解决 。 
对 虚拟 局 域 网 的 配置 和 管理 主要 涉及 链 路 和 接口 类 型 、GARP 协议 和 VLAN 的 配置 。 

链 路 和 接口 类 型 ， 为 了 适应 不 同 网 络 环境 的 组 网 需要 ， 链 路 类 型 分 为 接 入 链 路 (Access 
Link) 和 干道 链 路 (Trunk Link) 两 种 链 路 类 型 。 接 入 链 路 只 能 承载 1 个 VLAN 的 数据 帧 ,用 于 
连接 交换 机 和 用 户 终端 干道 链 路 能 承载 多 个 不 同 VLAN 的 数据 帧 ， 用 于 交换 机 间 互 连 或 
连接 交换 机 与 路 由 器 。 根 据 接口 连接 对 象 以 及 对 收发 数据 帧 处 理 的 不 同 ， 以 太 网 接口 分 为 
Access 接口 、Trunk 接口 、Hybrid 接口 和 QinQ 接口 四 种 接口 类 型 ， 分 别 用 于 连接 终端 用 户 、 
交换 机 与 路 由 器 以 及 公 网 与 私 网 的 互联 等 。 

GARP 协议 主要 用 于 建立 一 种 属性 传递 扩散 机 制 , 以 保证 协议 实体 能 够 注册 和 注销 该 属 
性 。 简 单 说 就 是 为 了 简化 网 络 中 配置 VLAN 的 操作 , 通过 GVRP 的 VLAN 自动 注册 功能 将 
设备 上 的 VLAN 信息 快速 复制 到 整个 交换 网 ， 达 到 减少 手工 配置 及 保证 VLAN 配置 正确 的 
目的 。 

交换 机 的 初始 状态 是 工作 在 透明 模式 ,有 一 个 默认 的 VLAN1, 所 有 端口 都 属于 VLAN1。 

1. 划分 VLAN 的 方法 

虚拟 局 域 网 是 交换 机 的 重要 功能 ， 通 常 虚拟 局 域 网 的 实现 形式 有 多 种 ， 分 别 是 基于 接 
口 、MAC 地 址 、 子 网 、 网 络 层 协议 、 匹 配 策略 方式 来 划分 VLAN。 

通过 接口 来 划分 VLAN。 交 换 机 的 每 个 接口 配置 不 同 的 PVID， 当 数据 帧 进入 交换 机 时 
没有 带 VLAN 标签 ， 该 数据 帧 就 会 被 打上 接口 指定 PVID 的 Tag 并 在 指定 PVID 中 传输 。 

通过 源 MAC 地 址 来 划分 VLAN。 建 立 MAC 地 址 和 VLAN ID 映射 关系 表 ， 当 交换 机 
收 到 的 是 Untagged 帧 时， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 
传输 。 

通过 子 网 划分 VLAN。 建 立 卫 地 址 和 VLAN ID 映射 关系 表 , 当 交 换 机 收 到 的 是 Untagged 
帧 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 网 络 层 协议 划分 VLAN。 建 立 以 太 网 帧 中 的 协议 域 和 VLAN ID 的 映射 关系 表 ， 当 
收 到 的 是 Untagged 帧 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 


通过 策略 匹配 划分 VLAN， 实 现 多 种 组 合 的 划分 ， 包 括 接口 、MAC 地 址 、 卫 地 址 等 。 
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建立 配置 策略 ， 当 收 到 的 是 Untagged 帧 ， 且 匹配 配置 的 策略 时 ， 给 数据 帧 添加 指定 VLAN 
的 Tag 并 在 指定 VLAN 中 传输 。 
2. 配置 VLAN 举例 


在 网 络 中 ， 用 于 终端 与 交换 机 、 交 换 机 与 交换 机 、 交 换 机 与 路 由 器 连接 时 VLAN 的 划 
分 方式 多 种 多 样 ， 需 要 灵活 运用 。 这 里 就 接 入 层 交 换 机 的 VLAN 划分 举例 说 明 。 
(1) 以 接 入 交换 机 ACC1 为 例 ， 创 建 ACC1 的 业务 VLAN10 和 20。 


<HUAWEI> system-view 
[HUAWEI] sysnameACC1// 修 改 设备 名 称 为 ACC1 
[ACC1] vlan batch 10 20// 批 量 创建 VLAN 


(2) 配置 ACC1 连接 CORE1 和 CORE2 的 GE0/0/3 和 GE0/0/4， 透 传 部 门 A 和 部 门 B 
的 VLAN。 


[ACC1] interface GigabitEthernet 0/0/3 
[ACC1-GigabitEthernet0/0/3] port link-type trunk 

// 配 置 为 trunk 模式 ， 用 于 透 传 VLAN 

[ACC1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 
// 配 置 GE0/0/3 透 传 ACC1 上 的 业务 VLAN 

[ACC1-GigabitEthernet0/0/3] quit 

[ACC1] interface GigabitEthernet 0/0/4 
[ACC1-GigabitEthernet0/0/4] port link-type trunk 

// 配 置 为 trunk 模式 ， 用 于 透 传 VLAN 

[ACC1-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 20 
// 配 置 GE0/0/4 透 传 ACC1 上 的 业务 VLAN 

[ACC1-GigabitEthernet0/0/4] quit 


(3) 配置 ACC1 连接 用 户 的 接口 ， 使 各 部 门 加 入 VLAN。 


[ACC1] interfaceGigabitEthernet0/0/1 // 配 置 连接 部 门 A 的 接口 
[ACC1-GigabitEthernet0/0/1] port link-type access 
[ACC1-GigabitEthernet0/0/1] port default vlan 10 
[ACC1-GigabitEthernet0/0/1] quit 

[ACC1] interfaceGigabitEthernet0/0/2 // 配 置 连接 部 门 B 的 接口 
[ACC1-GigabitEthernet0/0/2] port link-type access 
[ACC1-GigabitEthernet0/0/2] port default vlan 20 
[ACC1-GigabitEthernet0/0/2] quit 


(4) 配置 BPDU 保护 功能 ， 加 强 网 络 的 稳定 性 。 


[ACC1] stpbpdu-protection 


如 果 把 ACC1 下 接 入 的 用 户 都 加 入 VLAN 10， 为 了 配置 简单 ， 也 可 以 ACC1 上 不 配置 
VLAN, 而 把 CORE1、CORE2 与 ACC1 直接 相连 的 接口 以 access 方式 加 入 VLAN10, 这 样 
通过 ACC1 接 入 的 用 户 全 部 属于 VLAN 10。 


2.2.2 ”典型 例题 分 析 


【说 明 】(2015 年 下 半年 下 午 试题 一 ) 
某 公司 网 络 拓扑 结构 图 如 图 2-10 所 示 。 公 司 内 部 的 用 户 使 用 私有 地 址 段 192.168.1.0/24。 


PC1 PC2 PC3 PC4 
2-10 ”网 络 拓扑 结构 图 


【问题 1】(2 分 ) 
为 了 节省 他 地 址 ， 在 接口 地 址 上 均 使 用 30 位 地 址 掩 码 ， 请 补充 下 表 中 的 空白 。 


| 接口 | ip | 设备 | 接口 | 


F0/24 192.168.1.253 FO/l 
DHCPServer 192.168.1.249 F0/2 


【问题 2】(9 分 ) 

将 公司 内 部 用 户 按照 部 门 分 别 划分 在 3 个 vlan 中 : vlan 10、vlan 20 和 vlan 30。 均 连接 
在 交换 机 S1 上 ， 并 通过 S1 实现 vlan 间 通 信 ， 所 有 内 网 主机 均 采用 DHCP 获取 他 地址 。 按 
照 要 求 补充 完成 (或 解释 ) 以 下 配置 命令 

Switch>en 

Switch# _ (3) 

Switch (config)#hostname _ (4) 

Sl (config)#interface fastEthernet 0/1 

Sl(config-if)# (5)_ mode trunk 

Sl(config)#interface vlan 10 //_(6) 

Sl (config-if)#ip address 192.168.1.206 255.255.255.240 

Sl (config-if)#no shutdown 

Sl (config-if)#ip helper-address _ (7 

Sl(config-if)# (8 

Sl (config)# 


Sl(config)#router _ (9) 

S1 (config-router)#version 10) 

Sl (config-router)#network 192.168.1.192 
Sl(config-router)# network 192.168.1.208 
Sl(config-router)# network 192.168.1.224 
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Sli(config-router)# (11) _ 
S1# 
【问题 3】(2 分 ) 

在 S1 上 将 F0/1 接口 配置 为 tunk 模式 时 ， 出 现 了 以 下 提示 : 

Command rejected: An interface whose trunk encapsulation is "Auto" cannot be configured 
to "trunk" mode. 

应 采取 _(12) 方法 解决 该 问题 。 

(12) A. 在 该 接口 上 使 用 no shutdown 命令 后 再 使 用 该 命令 

B. 在 该 接口 上 启用 二 层 功能 后 再 使 用 该 命令 

C. 重新 启动 交换 机 后 再 使 用 该 命令 

D. 将 该 接口 配置 为 access 模式 后 再 使 用 该 命令 
问题 4】(2 分 ) 

在 S1 上 配置 的 三 个 SVI 接 口 地 址 分 别处 在 192.168.1.192、192.168.1.208 和 192.168.1.224 
网 段 ， 它 们 的 子 网 掩 码 是 _(13) 。 

答案 : 

【问题 1】 
(1) 192.168.1.254 (2) 192.168.1.250 
【问题 2】 
(3)configterminal (4) S1 (5)switchport (6) 进入 vlan10 中 (7) 192.168.1.249 
(8) exit (9)rip (10)2 (11)end 
【问题 3】 
(12)D 
【问题 4】 
(13) 255.255.255.240 
解析 : 
【问题 1】(2 分 ) 

为 了 节省 卫 地 址 ， 在 接口 地 址 上 均 使 用 30 位 地 址 掩 码 ，R1 的 F0/1 和 S1 的 F0/24 在 
同一 网 络 中 ， 现 在 S1 的 F0/24 地 址 是 192.168.1.253， 子 网 掩 码 是 255.255.255.252， 那 么 这 
个 地 址 所 在 的 可 用 主机 地 址 范围 是 192.168.1.253 ~ 192.168.1.234。R1 的 F0/1 就 是 
192.168.1.254。 

同 理 ,R1 的 F0/2 和 DHCP 的 eth0 处 于 同一 网 络 ,所 以 R1 的 F0/2 的 地 址 是 192.168.1.250。 

【问题 2】(9 分 ) 

(3) Switch#config terminal /进入 全 局 配置 模式 

(4) Switch(config)#hostname S1 // 将 交换 机 命名 为 S1 

(5) Sl(config-if)switchport mode trunk // 将 端口 封装 为 trunk 模式 

(6) Sl(config-if)#interface vlan 10// 进 入 Vlan 10 

(7) Sl(config-if)#ip helper-address 192.168.1.249 

// 指 定 DHCP 服务 器 的 地 址 ， 表 示 通 过 Ethemet0 向 该 服务 器 发 送 DHCP 请 求 包 

(8) Sl(config-iD#exit// 退 出 接口 子 模式 


Leon) 
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(9) Sl(onfig)#houte rip// 开 启 RIP 
(10) S1(config-router)#version 2// 指 定 版 本 为 >， 支持 可 变 长 子 网 掩 码 
(11) Sl(config-router)#end// 退 出 到 特权 模式 
【问题 3】(2 分 ) 
在 S1 上 将 F0/1 接口 配置 为 trunk 模式 时 ， 出 现 了 以 下 提示 : 
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured 
to "trunk" mode. 
应 采取 将 该 接口 配置 为 access 模式 后 再 使 用 该 命令 的 方法 解决 该 问题 。 
【问题 4】 (2 分 ) 
采用 三 层 交 换 机 的 路 由 模块 为 VLAN 之 间 做 路 由 也 是 非常 普遍 的 。 由 于 三 层 交 换 机 的 
路 由 模块 和 交换 模块 直接 通过 交换 机 的 背 板 总 线 连接 ， 所 以 不 需要 使 用 干道 技术 。 只 需要 
在 三 层 交 换 机 的 路 由 模块 上 定义 与 VLAN 数量 相当 的 逻辑 接口 ， 并 让 这 些 接口 和 VLAN 对 
应 ,为 这 些 接口 分 配 卫 地 址 就 可 以 了 。 SVI 交换 机 虚拟 接口 实现 不 同 VLAN 间 通 信 的 问题 ， 
每 个 SVI 要 和 各 个 VLAN 属于 同一 网 络 中 。 所 以 子 网 掩 码 是 255.255.255.240。 


2.2.3 同步 练习 


【说 明 】(2015 年 上 半年 下 午 试题 四 ) 
某 企 业 的 网 络 拓扑 结构 如 图 2-11 所 示 。 


Vlan10 
192.168.10.0/24 
Gateway:192.168.10.1 


ee Switchl 


研发 中 心 SS 
Switch4 
< 和》 SS 
Vlan40 
192.168.20.0/24 192.168.30.0/24 192.168.40.0/24 
Gateway:192.168.20.1 || Gateway:192.168.30.1 Gateway:192.168.40.1 


图 2-11 某 企 业 网 络 拓扑 结构 
由 于 该 企业 路 由 设备 数量 较 少 ， 为 提高 路 由 效率 ， 要 求 为 该 企业 构建 基于 静态 路 由 的 
多 层 安 全 交换 网 络 。 根 据 要 求 创建 4 个 VLAN 分 别 属于 网 管 中 心 、 生 产 部 、 销 售 部 以 及 研 
发 中 心 ， 各 部 门 的 VLAN 号 及 IP 地 址 规划 如 图 2-11 所 示 。 该 企业 网 采用 三 层 交 换 机 
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Switch-core 为 核心 交换 机 ,Switch-core 与 网 管 中 心 交换 机 Switchl 和 研发 中 心 交 换 机 Switch4 
采用 三 层 连接 , Switch-core 与 生产 部 交换 机 Switch2 及 销售 部 交换 机 Switch3 采用 二 层 互联 。 
各 交换 机 之 间 的 连接 以 及 接口 他 地 址 如 表 2-4 所 示 。 


表 2-4 各 交换 机 之 间 的 连接 以 及 接口 IP 地 址 表 


交换 机 


Switch-core 


交换 机 
Switch2 
G0/2 192.168.101.1/24 | Switchl core-g0/2 | 192.168.101.2/24 
| F0/1 | - 192.168.102.1/24 | Switch4 192.168.102.2/24 


| | saaa|im 


xssw-f0/] core-f0/5 


【问题 1】(4 分 ) 

随 着 企业 网 络 的 不 断 发 展 ， 研 发 中 心 的 上 网 计算 机 数 急 剧 增加 ， 在 高 峰 时 段 研发 中 心 
和 核心 交换 机 之 间 的 网 络 流量 非常 大 ， 在 不 对 网 络 进行 大 的 升级 改造 的 前 提 下 ， 网 管 人 员 
采用 了 以 太 信道 (或 端口 聚合 ) 技 术 来 增加 带宽 ， 同 时 也 起 到 了 _(D_ 和 _ (2)_ 的 作用 ， 保 
证 了 研发 中 心 网 络 的 稳定 性 和 安全 性 。 

在 两 台 交 换 机 之 间 是 否 形成 以 太 信道 ， 可 以 用 协议 自动 协商 。 目 前 有 两 种 协商 协议 : 
一 种 是 _(3) ， 是 Cisco 私有 的 协议 ; 另 一 种 是 _(4) _， 是 基于 IEEE 802.3ad 标准 的 协议 。 

(3)、(4) 备 选 答案 : 

A. 端口 聚合 协议 PAgP) 
B. 多 生成 树 协议 (MSTP) 
C. 链 路 聚合 控制 协议 (LACP) 

【问题 2】(7 分 ) 

核心 交换 机 Switch-core 与 网 管 中 心 交换 机 Switchl 通过 静态 路 由 进行 连接 。 根据 需 求 ， 
完成 或 解释 Switch-core 与 Switchl 的 部 分 配置 命令 。 

(1) 配置 核心 交换 机 Switch-core。 

Switch-core#config terminal 

Switch-core (config)#interface gigabitEthernet 0/2 

Switch-core (config-if)#description wgsw-g0/1 //_G) 

Switch-core (config-if)#no switchport // (9 _ 

Switch-core (config-if)#ip address _(7) _ 

Switch-core (config-if)#no shutdown 


Switch-core (config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2 
Switch-core (config)#exit 


(2) 配置 网 管 中 心 交换 机 Switch1。 


Switchl#config terminal 
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Switchl (config)#no ip domain lookup //_ (9) 

Switchl (config)#interface gigabitEthernet 0/1 

Switchl (config-if)#description core-g0/2 

Switchl (config-if)#no switchport 

Switchl (config-if)#ip address _ (9) 

Switchl (config-if)#exit 

Switchl (config)#vlan 10 

Switchl (config-vlan)#name wgl0 

Switchl (config-vlan)#exit 

Switchl (config)#interface vlan 10 // 创 建 VLAN10 
Switchl (config-if)#ip address _ (10) 

Switchl (config-if)#exit 

Switchl (config)#interface range f0/2-20 

Switchl (config-if-range)#switchport mode access // 设 置 端口 为 access 模式 
Switchl (config-if-range)#switchport access _(11) _// 设 置 端口 所 属 的 VLAN 
Switchl (config-if-range)#no shutdown 

Switchl (config-if-range)#exit 

Switchl (config)#ip route 192.168.20.0 255.255.255.0 192.168.101.1 
Switchl (config)#ip route 192.168.30.0 255.255.255.0 192.168.101.1 


【问题 3】(7 分 ) 

为 确保 研发 中 心 网 络 的 稳定 性 ， 在 现 有 条 件 下 尽量 保证 带宽 ， 要 求实 现 核 心 交 换 机 
Switch-core 与 研发 中 心 交换 机 Switch4 的 三 层 端口 聚合 ,然后 通过 静态 路 由 进行 连接 。 根据 
需求 ， 完 成 或 解释 以 下 配置 命令 。 

(1) 继续 配置 核心 交换 机 Switch-core。 


Switch-core#config terminal 

Switch-core (config)#interface port-channel 10 0 

Switch-core (config-if)#no switchport 

Switch-core (config-if)#ip address_ (13) 

Switch-core (Config-if)#no shutdown 

Switch-core (config-if)#exit 

Switch-core (config)#interface range fastEthernet0/1-4 // 选 择 配 置 的 物理 接口 
Switch-core (config-if-range)#no switchport 

Switch-core (config-if-range)#no ip address ”// 确 保 该 物理 接口 没有 指定 的 IP 地 址 
Switch-core (config-if-range)#switchport // 改 变 该 端口 为 2 层 接口 
Switch-core (config-if-range)#channel-group 10 mode on //_(14) 
Switch-core (config-if-range)#no shutdown 

Switch-core (config-if-range)#exit 

Switch-core (config)#ip route 192.168.40.0 255.255.255.0 192.168.102.2 


(2) 配置 研发 中 心 交换 机 Switch4。 


Switch4#config terminal 

Switch4 (config)#interface port-channel 10 

Switch4 (config-if)#no switchport 

Switch4 (config-if)#ip address_ (15) 

Switch4 (config-if)#no shutdown 

Switch4 (config-if)#exit 

Switch4 (config)#interface range fastEthernet0/1-4 // 选 择 配 置 的 物理 接口 
Switch4 (config-if-range)#no switchport 

Switch4 (config-if-range)#no ip address 
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Switch4 (config-if-range)#no shutdown 

Switch4 (config-if-range)#exit 

Switch4 (config)# (16) // 配 置 默 认 路 由 
Switch4 (config)#vlan 40 

Switch4 (config-vlan)#name yf10 

Switch4 (config-vlan)#exit 

Switch4 (config)# (17) // 开 启 该 交换 机 的 三 层 路 由 功能 
Switch4(config)#interface vlan 40 

Switch4 (config-if)#ip address 192.168.40.1 255.255.255.0 
Switch4 (config-if)#exit 

Switch4 (config)#interface range fastEthernet0/5-20 
Switch4 (config-if-range)#switchport mode access 


Switch4 (config-if-range)# (18) // 退 回 到 特权 模式 
Switch4# 


【问题 4】(2 分 ) 

为 了 保障 局 域 网 用 户 的 网 络 安全 ,防范 欺骗 攻击 ， 以 生产 部 交换 机 Switch2 为 例 ， 配置 
DHCP 侦 听 。 根 据 需求 完成 或 解释 Switch2 的 部 分 配置 命令 。 

Switch2#config terminal 

Switch2 (config)#ip dhcp snooping //_(19) 

Switch2 (config)#ip dhcp snooping vlan 20 

Switch2 (config)#interface gigabitEthernet1/1 


Switch2 (config-if)#ip dhcp snooping trust //_ (20) 
Switch2 (config-if)#exit 


2.2.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(1) 负载 均衡 ” (2) 元 余 备 份 G)A (DC 
【问题 2】 


(5) 配置 接口 描述 ”(6) 设置 为 路 由 接口 (7) 192.168.101.1 255.255.255.0 
(8) 禁止 DNS 查询 (9) 192.168.101.2 255.255.255.0 

(10) 192.168.10.1 255.255.255.0 (11) vlan 10 

【问题 3】 

(12) 进入 编号 为 10 的 通道 接口 ” (13) 192.168.102.1 255.255.255.0 
(14) 配置 通道 组 10 的 模式 为 启动 (15) 192.168.102.2 255.255.255.0 
(16) ip route 0.0.0.0 0.0.0.0 192.168.102.1 (17)iprouting (18)end 
【问题 4】 

(19) 启动 DCHP 监听 功能 ”(20) 设置 端口 为 信任 端口 

解析 : 

【问题 1】 

以 太 通 道 可 以 增加 带宽 ， 同 时 也 可 以 起 到 负载 均衡 和 宛 余 备份 的 作用 。 
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Cisco 的 以 太 通道 的 协议 是 PAgP，IEEE 802.3ad 的 以 太 通道 协议 是 LACP.。 


【问题 2】 
(5) Switch-core(config-if)#description wgsw-g0/1 ”// 配置 端口 描述 
(6) Switch-core(config-if)#no switchport // 设置 为 路 由 (三 层 ) 接 口 
(7) Switch-core(config-if)#ip address 192.168.101.1 255.255.255.0 
(8) Switchl(config)#no ip domain lookup // 禁止 DNS 查询 


(9) Switchl(config-if)#ip address 192.168.101.2 255.255.255.0 

// 通 过 表 中 可 得 出 Switchl 的 g0/2 的 他 地 址 
(10) Switchl(config-if)#ip address 192.168.10.1 255.255.255.0 

// 通 过 图 中 网 管 主机 的 网 关 地 址 可 得 出 
(11) Switchl(config-if-range)#switchport access vlan 10 。 V/ 设 置 端口 所 属 的 VLAN 

【问题 3] 

(12) Switch-core(config)#interface port-channel 10 ”// 进入 编号 为 10 的 以 太 网 通道 接口 
(13) Switch-core(config-if)#ip address 192.168.102.1 255.255.255.0 // 通 过 表 得 出 全 地 址 
(14) Switch-core(config-if range)#channel-group 10 mode on // 分 配 接口 并 指定 为 PAgp 模式 
(15) Switch-core(config-if)#no address 192.168.102.2 255.255.255.0 
(16) Switch4(config)#ip route 0.0.0.0 0.0.0.0 192.168.102.1 // 配 置 默 认 路 由 


(17) Switch4(config)# ip routing // 开 启 该 交换 机 的 三 层 路 由 功能 
(18) Switch4(config-if-range)#end // 退 回 到 特权 模式 
【问题 4]】 


DHCP Snooping 技术 是 DHCP 安全 特性 ， 通 过 建立 和 维护 DHCP Snooping 绑 定 表 过 滤 
不 可 信任 的 DHCP 信息 ， 这 些 信息 是 指 来 自 不 信任 区 域 的 DHCP 信息 。DHCP Snooping 绑 
定 表 包含 不 信任 区 域 的 用 户 MAC 地 址 、 卫 地址、 租用 期 、VLAN-ID 接口 等 信息 。 

当 交 换 机 开启 了 DHCP-Snooping 后 ,会 对 DHCP 报 文 进行 侦 听 , 可 以 从 接收 到 的 DHCP 
Request 或 DHCP Ack 报 文中 提取 并 记录 全 地 址 和 MAC 地 址 信息 。 另 外 ，DHCP-Snooping 
允许 将 某 个 物理 端口 设置 为 信任 端口 或 不 信任 端口 。 信 任 端口 可 以 正常 接收 并 转发 DHCP 
Offer 报 文 ， 而 不 信任 端口 会 将 接收 到 的 DHCP Offer 报 文 丢弃 。 这 样 ， 可 以 完成 交换 机 对 
假冒 DHCP Server 的 屏蔽 作用 ， 确 保 客户 端 从 合法 的 DHCP Server 获取 了 IP 地 址 。 


2.3 本 章 小 结 


本 章 知 识 点 在 2014 年 的 新 大 纲 中 变化 较 小 ， 只 是 一 些 表述 方式 的 调整 。 

本 章 主要 要 求 考生 掌握 交换 机 的 基本 配置 以 及 VLAN 的 实施 ， 包 括 STP 和 VTP 等 。 

本 章 内 容 为 下 午 科 目的 重点 内 容 ， 尤 其 是 VLAN， 基 本 为 每 次 考试 的 必 考 内 容 ， 希 望 
考生 重点 掌握 。 其 中 多 数 会 涉及 STP 和 VTP 的 相关 配置 。 
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大 纲要 求 : 


9 ”路 由 器 的 配置 ， 包 括 命令 行 接口 配置 、 使 用 Web 方式 访问 路 由 器 、VoIP 配置 、 
路 由 协议 的 配置 、 广 域 联网 、DTP、STP 和 RSTP。 

9 。” 远程 访问 服务 器 ， 包 括 功能 和 机 制 。 

4 网络 接 入 与 服务 ， 包 括 HFC、ADSL、FTTx+LAN、WLAN、 移 动 通信 、 服 务 供 
应 商 、 因 特 网 广播 、 电 子 商 务 、 电 子 政务 、 主 机 服务 提供 者 和 数据 中 心 。 

8” 人 P 路 由 器 功能 和 控制 。 


3.1 “IP 地 址 与 划分 


3.1.1 考点 辅导 


3.1.1.1 “IP 地 址 的 分 类 

IP 地 址 格式 使 用 的 是 点 分 十 进 制 表示 法 。 它 包含 32 位 ， 分 为 4 个 部 分 ， 每 个 部 分 
都 是 用 8 位 二 进 制 字 节 的 十 进 制 表示 。 一 个 IP 地 址 的 8 位 二 进 制 字 节 格 式 如 
10000001.00000101.00001010.01100100， 转 换 为 十 进 制 就 是 129.5.10.100。 地 址 的 一 部 分 是 
网 络 标识 符 (Net_ID， 网 络 ID)， 另 一 部 分 是 主机 标识 符 (Host ID， 主 机 ID)。 

了 地址 共有 5 类 : A 类 、B 类 、C 类 、D 类 和 了 类 。 在 不 同类 型 的 网 络 中 使 用 不 同 的 
IP 地 址 类 。 地 址 分 类 反映 了 网 络 的 大 小 以 及 包 是 单 点 传送 的 还 是 多 点 传送 的 。 

A 类 、B 类 和 C 类 地 址 计划 用 于 单 点 编 址 方法 ， 但 它们 用 于 不 同 大 小 的 网 络 。A 类 地 
址 用 于 最 大 型 的 网 络 ， 该 网 络 的 节点 数 可 达 16 777 216 个 ， 在 最 前 8 位 (第 一 字 节 ) 上 由 1 一 
126 的 值 来 标识 。 网 络 ID 为 前 8 位 (第 一 字 节 )， 主 机 ID 为 后 24 位 (第 二 、 三 、 四 字 节 )。B 
类 地 址 是 用 于 中 型 网 络 的 单 点 编 址 格式 , 节点 数 可 达 65 536 个 , 在 最 前 8 位 (第 一 字 节 ) 上 由 
127~191 的 值 来 标识 。 网络 ID 为 前 两 个 8 位 (第 一 、 二 字 节 ), 主机 ID 为 后 两 个 8 位 (第 三 、 
四 字 节 )。C 类 地 址 是 用 于 256 个 节点 以 下 的 小 型 网 络 的 单 点 网 络 通信 。 最 前 面 的 8 位 (第 一 
字 节 ) 转 换 为 十 进 制 是 在 192 一 223， 网 络 人 D 为 前 24 位 (第 一 、 二 、 三 字 节 )， 而 主机 ID 为 最 
后 8 位 (第 四 字 节 )。 

D 类 地 址 并 不 反映 网 络 的 大 小 ， 只 反映 通信 是 多 点 传送 的 ， 所 以 通常 也 称 为 组 播 。 它 
的 四 个 8 位 字 节 用 来 指定 其 所 分 配 到 的 接收 多 点 传送 的 节点 组 ， 这 个 节点 组 是 由 多 点 传送 
订阅 成 员 组 成 的 。D 类 地 址 的 范围 为 224.0.0.0 一 239.255.255.255。 

E 类 地 址 用 于 试验 ， 地 址 的 第 一 个 8 位 字 节 的 范围 为 240~255。 

除了 这 些 用 于 分 类 编 址 的 了 P 地址 外 ， 还 有 一 些 具 有 特殊 目的 的 IP 地 址 ， 如 
255.255.255.255， 这 是 发 送 到 所 有 网 络 位置 的 广播 地 址 。 以 127 作为 第 一 个 8 位 字 节 开始 的 
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数据 包 用 于 网 络 测试 。 对 于 一 个 完整 的 网 络 ， 只 需 提供 网 络 ID 号， 将 其 他 字 节 均 设置 为 0 
便 可 指定 。 例 如 : B 类 地 址 网 络 132.155.0.0 和 C 类 地 址 网 络 220.127.10.0， 都 指定 的 是 完 
的 网 络 。 

根据 用 途 和 安全 性 级 别 的 不 同 ， 还 可 以 将 他 地址 分 为 两 类 : 公共 地 址 和 私有 地 址 。 公 
共 地 址 在 Internet 中 使 用 , 它 可 以 在 Internet 中 随意 访问 ; 私有 地 址 只 能 在 内 部 网 络 中 使 用 ， 
只 有 通过 代理 服务 器 才能 与 Internet 通信 。 

一 个 机 构 或 网 络 要 连 入 Intemet， 必 须要 申请 公共 人 P 地址。 但 是 考虑 到 网 络 安全 和 内 部 
实验 等 特殊 情况 ，IP 地 址 中 专门 保留 了 三 个 区 域 作为 私有 地 址 ， 其 地 址 范围 如 下 。 

10.0.0.0/8: 10.0.0.0~10.255.255.255。 

172.16.0.0/12: 172.16.0.0~172.31.255.255。 

192.168.0.0/16: 192.168.0.0~192.168.255.255。 

使 用 保留 地 址 的 网 络 只 能 在 内 部 进行 通信 ， 而 不 能 与 其 他 网 络 互联 。 因 为 本 网 络 中 的 
保留 地 址 同样 也 可 能 被 其 他 网 络 使 用 ， 如 果 进 行 网 络 互联 ， 那 么 在 寻找 路 由 时 就 会 因为 地 
址 的 不 唯一 而 出 现 问 题 。 但 是 这 些 使 用 保留 地 址 的 网 络 可 以 通过 将 本 网 络 内 的 保留 地 址 转 
换 成 公共 地 址 的 方式 来 实现 与 外 部 网 络 的 互联 ， 这 里 需要 使 用 网 络 地 址 转换 技术 。 


3.1.1.2 子 网 掩 码 


编 址 的 男 一 个 特殊 形式 是 子 网 掩 码 。 子 网 掩 码 的 目的 有 两 个 :一 是 显示 使 用 的 编 址 类 
别 ， 二 是 将 网 络 分 成 子 网 来 控制 网 络 流量 。 在 第 一 种 情况 下 ， 子 网 掩 码 可 使 得 应 用 程序 能 
够 确定 卫 地 址 的 哪 一 部 分 是 表示 网 络 ID， 哪 一 部 分 是 表示 主机 ID。 例如， 一 个 A 类 地 址 
网 络 的 默认 子 网 掩 码 是 第 一 个 8 位 字 节 均 为 二 进 制 的 1， 其 他 字 节 均 为 二 进 制 的 0: 
11111111.00000000.00000000.00000000(255.0.0.0)。 

如 果 要 将 网 络 分 成 子 网 , 子 网 掩 码 应 包含 子 网 ID , 这 个 子 网 ID 是 由 网 络 管理 员 决定 的 ， 
存在 于 网 络 ID 和 主机 ID 之 内 。 例 如 ， 可 以 指定 B 类 地 址 的 整个 第 三 个 8 位 字 节 来 说 明子 
网 ID, 如 11111111.11111111.11111111.00000000(255.255.255.0); 另 一 种 选择 是 只 指定 第 三 
个 8 位 字 节 的 前 5 位 作为 子 网 ID， 后 3 位 和 余下 的 8 位 字 节 用 于 指定 主机 ID， 如 
11111111.11111111.11111000.00000000(255.255.248.0)。 

使 用 子 网 掩 码 将 网 络 分 成 一 系列 小 型 网 络 ， 可 以 使 得 第 三 层 设备 能 够 有 效 地 忽略 传统 
的 地 址 分 类 命名 ， 因 此 在 通过 多 个 子 网 和 额外 的 网 络 地 址 将 网 络 进行 分 段 时 就 有 了 更 多 的 
选项 ， 克 服 了 四 个 8 位 字 节 长 度 的 限制 。 同 样 是 利用 子 网 掩 码 工具 ，1992 年 出 现 了 一 种 新 
的 忽略 地 址 分 类 命名 的 方法 ， 它 是 无 分 类 域 间 路 由 (Classless Inter-Domain Routing，CIDR) 
编 址 方法 。 

引入 CIDR 后 ， 意 味 着 网 络 “ 类 ”( 比 如 A 类 地 址 、B 类 地 址 等 ) 的 概念 已 经 被 取消 ， 取 
而 代 之 的 是 “网 络 前 级 ”的 概念 。CIDR 的 基本 思想 是 取消 地 址 的 分 类 结构 ， 允 许 以 可 变 长 
分 界 的 方式 分 配 网 络 数 。 它 支持 路 由 聚合 ， 可 限制 Internet 主干 路 由 器 中 必要 路 由 信息 的 
增长 。 

CIDR 编 址 的 方法 是 在 点 分 隔 的 十 进 制 符号 之 后 画 一 个 斜 杠 “/”， 并 在 斜 杠 后 加 上 子 网 
掩 码 “1” 的 总 个 数 。 比 如 202.102.0.0/23 。 我 们 知道 ，202.102.0.0 是 C 类 网 络 地 址 (默认 是 
24 位 子 网 掩 码 ); 而 采用 CIDR 编 址 后 ，202.102.0.0/23(23 位 子 网 掩 码 ) 既 不 属于 C 类 网 络 地 


第 3 章 路 由 器 与 网 络 互联 


址 , 也 不 属于 B 类 网 络 地 址 。 但 是 , 网 络 地 址 202.102.0.0/23 提供 了 更 多 的 信息 节点 (510 个 )， 
而 默认 的 C 类 网 络 地 址 202.102.0.0 只 提供 了 254 个 信息 节点 。 

可 见 , CIDR 编 址 方法 为 中 型 的 网 络 提供 了 更 多 的 瑟 地 址 选项 。 例如, 对 于 需要 262 144 
个 节点 的 网 络 ， 其 CIDR 网 络 编 址 方案 可 以 是 165.100.0.0/14。 


3.1.1.3 Pv6 


到 目前 为 止 IPv4 已 经 存在 20 多 个 年 头 了 。 在 20 世纪 90 年 代 中 期 ,人们 就 认识 到 了 它 
的 局 限 性 ， 主 要 的 一 点 是 32 位 地 址 太 有 限 。 在 当前 的 网 络 使 用 状况 下 ，IPv4 所 有 的 地 址 很 
快 将 会 消耗 尽 。 

另外 ， 由 于 IPv4 不 能 提供 网 络 安 全 ， 也 不 能 实施 复杂 的 路 由 选项 (如 在 QoS 的 水 平 上 
创建 子 网 等 ), 所 以 它 的 应 用 也 受到 了 限制 。 同 时 ，IPv4 除了 能 提供 广播 和 多 点 传送 编 址 外 ， 
并 不 具备 用 多 个 选项 来 处 理 多 种 不 同 的 多 媒体 应 用 程序 (如 流 式 视频 或 视频 会 议 等 )。 

为 了 适应 IP 的 爆炸 式 应 用 ，Internet 工程 任务 组 (IETF) 开 始 了 IPng(IP next generation) 
的 初步 开发 。1996 年 ， 通 过 对 IPng 的 研究 诞生 了 一 种 称 为 IPv6 的 新 标准 ， 并 在 RFC 1883 
中 得 到 定义 。IPv6 的 目的 是 从 IPv4 中 提供 一 条 人 逻辑 的 增长 路 径 ， 使 得 应 用 程序 和 网 络 设备 
可 以 处 理 新 出 现 的 要 求 。 目 前 , 虽然 IPv4 仍 应 用 在 全 世界 的 绝 大 多 数 网 络 中 , 但 向 IPv6 的 
升级 已 经 开始 了 。IPv6 的 新 特点 如 下 。 

。 具有 128 位 编 址 能 力 。 

一 个 单独 的 地 址 对 应 着 多 个 接口 。 

地 址 自动 配置 并 可 用 CIDR 编 址 。 

以 40 字 节 的 头 取代 了 IPv4 的 20 字 节 的 头 。 

可 将 新 的 卫 扩展 的 头 用 于 特殊 需要 ， 包 括 用 于 更 多 的 路 由 技术 和 安全 选项 中 。 

IPv6 编 址 使 得 一 个 他 标识 符 可 以 与 多 个 不 同 的 接口 相关 ， 从 而 可 以 更 好 地 处 理 多 媒体 
信息 流量 。 在 IPv6 网 络 中 ， 多 媒体 流量 不 是 通过 广播 或 多 点 传送 ， 而 是 将 所 有 接收 接口 都 
指定 为 同一 个 地 址 传送 。 

IPv6 并 不 沿 基于 分 类 的 地 址 而 行 ， 而 是 与 CIDR 兼容 的 ， 从 而 其 地 址 可 以 通过 很 大 范 
围 的 选项 来 进行 配置 ， 并 使 得 路 由 和 子 网 的 通信 更 出 色 。 同 时 ， 它 还 提供 了 多 种 选项 ， 使 
得 我 们 可 以 在 一 个 组 织 内 、 一 个 单独 的 地 址 内 ， 根 据 地 理 位 置 、 组 织 及 类 型 的 不 同 来 创建 
各 异 的 网 络 。IPv6 的 编 址 是 自动 配置 的 ， 可 以 减轻 网 络 管理 员 管理 和 配置 地 址 的 工作 负荷 。 
它 支持 两 种 自动 配置 技术 : 一 种 是 基于 动态 主机 配置 协议 DHCP)， 另 一 种 是 基于 无 状态 的 
自动 配置 技术 。 在 无 状态 自动 配置 中 ,网 络 设备 自己 指派 瑟 地 址 ， 而 不 是 从 服务 器 中 获得 。 
它 通 过 简单 地 将 NIC 的 MAC 地 址 与 从 子 网 路 由 器 中 获得 的 子 网 命名 结合 在 一 起 来 创建 
地 址 。 

IPv6 数据 包 的 传送 类 型 分 为 单 点 传送 、 任 意 点 传送 和 多 点 传送 。 在 单 点 传送 包 中 ， 一 
个 单独 的 网 卡 接口 对 应 一 个 单独 的 地 址 ， 并 且 是 点 到 点 传输 的 。 任 意 点 传送 的 包 中 包含 着 
与 多 个 接口 关联 的 目标 地 址 ， 而 且 这 些 接口 通常 位 于 不 同 的 节点 上 。 任 意 点 传送 的 包 只 向 
最 近 的 接口 传送 ， 并 不 试图 到 达 具 有 同一 地 址 的 其 他 接口 。 多 点 传送 包 与 任意 点 传送 包 相 
似 ， 也 具有 与 多 个 接口 相关 联 的 目标 地 址 ， 但 是 与 任意 点 传送 包 不 同 的 是 ， 多 点 传送 包 将 
流向 具有 这 个 地 址 的 所 有 接口 。 
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1. 头 部 格式 


如 图 3-1 所 示 ， 基 本 的 IPv6 头 包含 以 下 域 。 

”版 本 : 这 是 版 本 标识 符 ， 它 的 值 为 6。 

4 流量 分 类 : 该 域 说 明了 一 个 包 是 否 包 含 着 协助 控制 网 络 阻塞 的 信息 。 用 于 阻塞 控 
制 的 包 可 以 提供 诸如 过 滤 、 自 动 E-mail 投递 和 与 Intemet 相关 的 控制 等 特征 。 不 控 
制 阻塞 的 包 是 携带 数据 的 ， 可 以 指定 不 同 的 优先 级 来 说 明 丢弃 一 个 包 对 信息 的 影 
响 。 例 如 ， 携 带 声 频 的 包 的 优先 级 应 当 设置 得 高 一 些 ， 以 此 说 明 一 定 要 避免 丢弃 

包 ， 因 为 这 样 会 干扰 声音 播放 的 连续 性 。 

4 流标 签 : 此 处 的 信息 用 于 向 路 由 器 说 明 包 需要 以 特殊 的 方法 来 进行 处 理 。 例 如 ， 
多 点 传送 包 需 要 额外 的 网 络 资源 ， 而 秘密 的 包 需 要 更 高 的 安全 性 。 

% ”有 效 负载 长 度 : 该 域 说 明了 包 有 效 负载 的 大 小 (不 计 包 的 头 )。 

4 儿 下 一 个 头 : 由 于 可 以 添加 扩展 的 头 ， 所 以 当 基本 的 头 到 了 结尾 时 ， 该 域 就 提供 了 
有 关 预 期 的 头 是 何 种 类 型 的 信息 。 如 果 没 有 包含 扩展 的 头 , 那么 下 一 个 头 就 是 TCP 
或 者 UDP。 

4 跳 数 限制 : 该 域 用 来 对 IPv4 TTL 域 进行 修正 。 当 创建 好 一 个 包 后， 就 会 在 跳 数 限 
制 (Hop Limit) 域 中 输入 最 大 的 路 由 器 跳 数 值 , 包 每 次 经 过 第 三 层 设备 时 , 该 值 都 会 
减 1。 当 第 三 层 设备 遇 到 的 包 的 跳 数 限制 为 0 时 ， 就 将 该 包 技 弃 ， 以 免 在 网 络 上 不 
断 地 传播 。 

4 ， 源 地址 : 这 是 指 发 送 设 备 的 128 位 地 址 。 

4 ”目标 地 址 ， 此 域 包含 着 接收 包 设备 的 128 位 地 址 。 


版 本 | 流量 分 类 | 流标 和 


有 效 负 载 长 度 下 一 个 头 。 | 。 踏 数 限制 
源 地 址 | 
目标 地 址 | 
扩展 的 头 (可 选 ) 
TCP 或 UDP 头 
应 用 数据 


图 3-1 IPv6 数据 包 
2. IPv6 扩展 头 部 及 其 功能 


当前 ，IPv6 定义 了 下 列 6 种 扩展 头 。 
4 ” 步 跳 扩展 头 。 
4 路 由 扩展 头 。 
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分 段 扩展 头 。 
验证 扩展 头 。 
安全 负载 封装 扩展 头 。 
目标 选项 扩展 头 。 

IPv6 的 主 头 必须 出 现在 所 有 的 扩展 头 之 前 。 扩 展 头 是 可 选 的 ， 可 以 组 合 使 用 ， 也 可 以 
一 个 都 不 用 。 在 单个 的 包 中 ， 每 种 类 型 的 扩展 头 只 能 出 现 一 次 。 当 同时 使 用 多 个 扩展 头 时 ， 
它们 必须 严格 遵守 上 面 列举 的 顺序 。 例 如 ， 如 果 同 时 使 用 了 路 由 扩展 头 、 验 证 扩展 头 和 安 
全 负载 封装 扩展 头 ， 那 么 包头 的 域 必须 按照 如 下 的 顺序 出 现 ; GDIPv6 的 主 头 ，@ 路 由 扩展 
头 ，@ 验 证 扩展 头 ，@ 安 全 负载 封装 扩展 头 ，@TCP 或 UDP 头 ，@ 应 用 数据 ， 如 图 3-2 所 
示 。 在 每 一 个 扩展 头 中 ， 第 一 个 字 节 为 一 个 8 位 的 “下 一 个 头 (Next Header)” 字 段 ， 该 字段 
用 以 指明 后 面 紧 跟 的 是 哪个 头 。 在 最 后 一 个 扩展 头 中 ，“ 下 一 个 头 ” 域 包含 的 值 为 59， 表 
明 该 扩展 头 是 最 后 一 个 。 在 上 面 的 例子 中 ， 路 由 扩展 头 中 的 “下 一 个 头 ” 域 指出 后 面 紧 跟 
的 是 验证 扩展 头 ， 验 证 扩展 头 的 “下 一 个 头 ” 域 指出 后 面 紧 跟 的 是 安全 负载 封装 扩展 头 。 
除 分 段 扩 展 头 之 外 ， 在 “下 一 个 头 ” 域 后 面 紧 跟 着 的 是 一 个 8 位 的 “ 头 扩展 长 度 ” 域 ， 用 
以 指明 该 扩展 头 的 长 度 。 每 个 扩展 头 的 长 度 必须 为 8 的 倍数 个 字 节 。 


人 
ba 
人 
*. 


3-2 “IPv6 数据 包 扩 展 头 


步 跳 扩 展 头 用 于 大 数据 的 传输 , 例如 多 媒体 视频 数据 包 。 其 应 用 数据 负载 可 以 从 65 535 
字 节 到 4 亿 字 节 。 数 据 包 所 经 过 的 每 一 个 路 由 都 将 读 取 步 跳 扩 展 头 ， 这 样 会 略微 增加 路 由 
器 的 处 理 延迟 。 

路 由 扩展 头 使 用 按 顺序 排列 的 路 由 地 址 来 标识 整个 路 由 ， 用 户 可 以 通过 配置 该 头 达到 
让 包 沿 相同 路 径 传输 的 目的 。 这 种 包 可 用 于 某 些 特殊 的 情况 ， 例 如 当 某 条 路 径 上 的 路 由 器 
出 现 故 障 的 时 候 。 

在 IPv6 中 ， 每 个 发 送 节点 通过 使 用 搜索 包 ， 运 行 一 个 最 大 传输 单元 (MTU) 路 径 发 现 的 
过 程 ， 便 可 以 确定 接收 网 络 所 允许 的 最 大 包 尺 寸 。 该 路 径 发 现 产 生 的 信息 包括 是 否 有 某 个 
路 由 器 出 现 故障 和 目标 网 络 是 否 需要 较 小 的 包 GPv6 包 最 多 可 以 包括 1280 个 8 位 字 节 )。 当 
向 使 用 小 于 1280 个 8 位 字 节 包 的 网 络 上 发 送 包 时 ，IPv6 便 对 包 进 行 分 段 。 根 据 MTU 路 径 
发 现 所 获取 的 信息 ， 发 送 节点 将 数据 包 进 行 分 段 ， 在 包头 中 添加 分 段 扩展 头 ， 告 知 接收 者 
包 是 如 何 分 段 的 。 将 数据 包 分 段 的 能 力 在 从 以 太 网 向 令 牌 环 网 发 送 包 或 者 在 具有 不 同 大 小 
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包 的 快速 以 太 网 和 千 兆 以 太 网 之 间 传 输 数 据 时 尤为 重要 。 当 把 一 个 包 进行 分 段 后 ， 每 一 个 
段 都 分 配 到 了 一 个 分 段 组 内 的 标识 符 (每 组 是 唯一 的 )， 该 标识 符 含有 32 位 标识 符 域 ， 这 样 
在 接收 数据 的 时 候 ， 不 同 组 的 分 段 就 可 以 很 容易 地 被 区 分 开 。 

验证 扩展 头 可 用 于 确认 数据 包 的 完整 性 GP 头 、TCP 头 和 数据 )， 即 保证 接收 到 的 数据 包 
和 发 送 的 数据 包 是 一 致 的 。 每 一 个 扩展 头 的 每 一 个 域 以 及 负载 数据 都 需要 进行 验证 。 如 果 
在 数据 包 发 出 后 某 个 域 中 的 值 有 所 改动 (对 于 步 跳 计数 来 说 肯定 要 发 生变 化 ， 因 此 步 跳 计 数 
除外 )， 该 字 域 的 验证 值 则 为 0。 通 常 ， 验 证 扩展 头 和 安全 负载 封装 扩展 头 是 一 起 使 用 的 ， 
这 样 便 可 以 对 包 进 行 验证 和 加 密 /解密 。 当 使 用 这 两 个 扩展 头 时 ， 在 接收 节点 上 将 做 如 下 
处 理 


(1) 首先 验证 包头, 然后 验证 TCP 头 (如 果 下 头 或 者 TCP 头 被 加 密 , 则 首先 需要 进行 
解密 )。 

(2) 在 验证 之 后 ， 使 用 安全 负载 封装 扩展 头 中 的 信息 对 负载 进行 解密 。 

(3) 在 解密 了 负载 后 ， 对 负载 进行 验证 。 

在 有 安全 需求 的 网 络 上 , 可 以 使 用 安全 负载 封装 扩展 头 对 IP 包 负载 或 者 TCP/IP 头 负载 
进行 加 密 ， 该 扩展 头 支持 与 数据 加 密 标 准 (DES) 相 兼容 的 密 钥 加 密 技术 。 


3.1.2 ”典型 例题 分 析 


【说 明 】(2017 年 下 半年 下 午 试题 四 ) 
某 公 司 网 络 拓扑 图 如 图 3-3 所 示 。 


GO/0/0 
192.168.100.242/30 
G0/0/24 
192.168.100.241/30 
人 六- 


S 
PCL 


图 3-3 某 公 司 网 络 拓扑 图 


【问题 1】(5 分 ) 

为 了 便于 管理 公司 网 络 ， 管 理 员 根 据 不 同 部 门 对 公司 网 络 划分 了 VLAN，VLAN 编号 
及 人 P 地 址 规划 如 表 3-1 所 示 。 考 虑 到 公司 以 后 的 发 展 ， 每 个 部 门 的 卫 地 址 规划 均 留 出 了 一 
定 的 余 量 。 请 根据 需求 ， 将 表 3-1 补充 完整 。 
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表 3-1 VLAN 编号 及 IP 地 址 规划 


行政 部 门 _ | VLAN100 32 192.168.100.129~_ (1) 
68 


营销 部 门 ” | VLAN105 192.168.100.1~192.168.100.126 255.255.255.128 
财务 部 门 VLAN110 8 192.168.100.193~192.168.100.222 (G3) 
后 勤 部 门 VLAN115 ls | (4) ~192.168.100.238 255.255.255.240 


公司 计划 使 用 24 接口 的 二 层 交 换 机 作为 接 入 层 交 换 机 ， 根 据 以 上 主机 数量 在 不 考虑 地 
理 位 置 的 情况 下 ， 最 少 需要 购置 _(5)_ 台 接 入 层 交 换 机 。 

【问题 2】(10 分 ) 

公司 申请 了 14 个 公 网 卫 地 址 ， 地 址 范围 为 202.119.25.209~202.119.25.222。 其 中 ， 
202.119.25.218 一 202.119.25.222 作为 服务 器 和 接口 地 址 保留 ， 其 他 公 网 PP 地 址 用 于 公司 访 
问 Intemet。 公 司 使 用 PAT 为 营销 部 门 提供 互联 网 访问 服务 。 请 根据 描述 ， 将 下 面 配置 代 
码 补充 完整 。 
<Huawei>system-view 


Huaweil]_(6)_R1 
user-interface_(7)_// 进 入 console 用 户 界面 视图 
-ui-console0]authentication-mode_(8) 
ease configure the login password (maximum length 16): huawei 
-ui-console0]quit 
int GigabitEthernet, 0/0/0 
1-GigabitEthernet0/0/0]ip address 192.168.100.242 255.255.255.252 
1-GigabitEthernet0/0/0]_ (9) 

(10) _2000 
-acl-2000]_ (11) 5 permit source 192.168.100.0_ (12) 
1-acl-basic-2000]quit 
nat address-group 1_(13) 202.119.25.217 
interface GigabitEthernet 0/0/1 
-GigabitEthernet 0/0/1]ip address_(14) 255.255.255.240 
1-GigabitEthernet 0/0/1]_ (15) outbound 2000 address-groupl 
rip 
R1-rip-l]version 2 
R1l-rip-l]network 192.168.100.0 
交换 机 配置 略 …… 


答案 : 
【问题 1 
(1) 192.168.100.190 (2) 255.255.255.192 (3) 255.255.255.240 
(4) 192.168.100.225 (5)5 
【问题 2】 
(6) sysname (7) console 0 (8) password (9) quit (10) acl (11) rule (12) 0.0.0.255 (13) 
202.119.25.209 (14) 202.119.25.219 (15) NAT 


口 


网 网 网 网 歼 网 史册 殉 史 员 史 以 网 画 
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网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


解析 : 

【问题 1】 由 图 形 说 明 可 知 ， 行 政 部 需要 32 个 有 效 主机 地 址 ， 因 此 分 配 主 机 位 位 数 为 
6， 网 络 号 位 数 则 为 26， 对 应 子 网 掩 码 为 255.255.255.192， 对 应 的 网 段 为 192.168.100.128， 
最 后 一 个 有 效 全 地 址 为 192.168.100.1011 1110 即 192.168.100.190。 同 理 可 求 得 其 他 部 门 的 
四 及 子 网 掩 码 。 

主机 数量 一 共有 32+68+8+8=116 台 ， 不 考虑 位 置 ， 则 需要 接 入 交换 机 (24 接口 ) 
116/24=4.8( 台 )， 至 少 需要 5 台 交 换 机 。 

【问题 2】[Huawei] sysname R1 表示 配置 设备 名 为 R1。 

[R1] user-interface console 0 表示 进入 Console 用 户 界面 视图 ， 参 数 interface-number 用 
来 指定 Console 口 编号 ， 只 能 为 0。 

登录 Console 用 户 界 面 的 验证 方式 。 当 用 户 通过 Console 口 登录 交换 机 时 终端 会 提示 输 
入 登录 密码 ， 登 录 交 换 机 。 使 用 quit 命令 可 以 退出 当前 模式 ， 空 (10)[R1] acl 2000 语句 定义 
了 一 个 标准 ACL 2000。 

区 1-acl-2000] rule 5 permit source 192.168.100.0 0.0.0.255， 该 语句 表明 允许 源 地 址 为 
192.168.100.1 一 192.168.100.254 的 数据 包 通 过 ， 其 中 由 192.168.100.0/24 可 得 子 网 掩 码 是 
255.255.255.0， 而 ACL 的 子 网 掩 码 用 反 向 子 网 掩 码 即 0.0.0.255。 

空 (13) 所 在 语句 意义 为 配置 了 地 址 池 1， 和 包括 两 个 公 网 地 址 202.119.25.209 和 
202.119.25.217。 

[R1] interface GigabitEthemret 0/0/1 

[R1-GigabitEthernet 0/0/1] ip address 202.119.25.219 255.255.255.240 

[R1-GigabitEthernet 0/0/1] nat outbound 2000 address-group1l 

此 处 语句 的 意义 为 在 出 接口 GigabitEthernet 0/0/1 上 配置 ACL 2000 与 他 地 址 池 1 相 关联 。 


3.1.3 同步 练习 


1. IPv6 将 下 地 址 空间 从 _Q)_ 位 扩展 到 _(2) 位。 

2. 子 网 掩 码 为 255.255.255.0 代表 什么 意义 ? 

3. 单位 分 配 到 一 个 B 类 的 他 地 址 ， 其 Net_ID 为 172.250.0.0。 该 单位 有 4000 台 机 器 ， 
分 布 在 16 个 不 同 的 地 点 。 请 分 析 : 

(1) 选用 子 网 掩 码 为 255.255.255.0 是 否 适合 ; 

(2) 给 每 一 个 地 点 分 配 一 个 子 网 号 码 ， 算 出 每 个 主机 号 码 的 最 小 值 和 最 大 值 。 


3.1.4 同步 练习 参考 答案 


1. 答案 : 

(32 (2) 128 

2. 答案 ; 

若是 A 类 网 络 的 子 网 掩 码 ， 则 前 8 位 为 网 络 号 ， 中 间 16 位 为 子 网 号 ， 最 后 8 位 为 主机 
号 ; 若是 B 类 网 络 ， 则 前 16 位 为 网 络 号 ， 中 间 8 位 为 子 网 号 ， 最 后 8 位 为 主机 号 ; 若是 C 
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类 网 络 ， 则 为 C 类 网 络 的 默认 子 网 掩 码 。 

3. 答案 : 

(1) 选用 子 网 掩 码 为 255.255.255.0， 子 网 位 有 8 位 ， 每 个 子 网 最 多 有 254 台 主 机 
(25-2=254)。 如 果 4000 台 机 器 是 平均 分 配 的 ， 则 4000 二 16=250( 台 ) 一 一 不 超过 254 台 ， 选 
用 这 个 子 网 掩 码 是 合适 的 ， 如 果 不 是 平均 分 配 ， 当 某 个 子 网 主机 数目 超过 了 254 台 ， 选 用 
这 个 子 网 掩 码 是 不 合适 的 。 

(2) 如 果 还 是 选用 255.255.255.0 作为 子 网 掩 码 ,每 个 子 网 中 主机 号 为 0.0.0.1~0.0.0.254。 


3.2 ”路 由 器 的 配置 与 网 络 互联 


3.2.1 考点 辅导 
3.2.1.1 路 由 器 的 功能 


近 几 年 来 ， 基 于 TCP/IP 协议 的 Internet 已 逐步 发 展 成 为 当今 世界 上 规模 最 大 、 拥 有 用 
户 和 资源 最 多 的 一 个 超大 型 计算 机 网 络 ，TCP/IP 协议 也 因此 成 为 事实 上 的 工业 标准 。IP 网 
络 正 逐 步 成 为 当代 乃至 未 来 计算 机 网 络 的 主流 。 路 由 器 作为 P 网 络 的 核心 设备 ， 将 不 同 的 
IP 子 网 互联 起 来 构成 一 个 规模 巨大 的 也 网 络 。 
路 由 器 是 工作 在 OSI 标准 模型 的 第 三 层 一 一 网 络 层 的 数据 包 转 发 设备 ， 它 通过 转发 数 
据 包 来 实现 网 络 互联 。 虽然 路 由 器 可 以 支持 多 种 协议 (如 TCP/IP、IPX/SPX 和 Apple Talk 等 
协议 )， 但 是 在 我 国 绝 大 多 数 路 由 器 上 运行 TCP/IP 协议 。 路 由 器 通常 连接 两 个 或 多 个 由 人 Pp 
子 网 或 点 到 点 协议 标识 的 逻辑 端口 ， 至 少 拥有 1 个 物理 端口 。 路 由 器 根据 收 到 的 数据 包 中 
网 络 层 地 址 以 及 路 由 器 内 部 维护 的 路 由 表 来 决定 输出 的 端口 以 及 下 一 跳 地 址 ， 并 且 通 过 重 
写 链 路 层 数据 包头 ， 实 现 转发 数据 包 。 路 由 器 通过 动态 维护 路 由 表 来 反映 当前 的 网 络 拓扑 ， 
并 通过 与 网 络 上 其 他 路 由 器 交换 路 由 和 链 路 信息 来 维护 路 由 表 。 
作为 网 络 的 核心 设备 ， 路 由 器 应 该 具备 以 下 功能 。 
4 接口 功能 : 该 功能 负责 将 路 由 器 连接 到 网 络 。 路 由 器 的 接口 可 分 为 局 域 网 接口 和 
广域网 接口 两 种 。 局 域 网 接口 主要 包括 以 太 网 、 令 牌 环 、 令 牌 总 线 和 FDDI 等 网 络 
接口 。 广 域 网 接口 主要 包括 EIT1、E3/T3、DS3 、 通 用 串 行 口 (可 转换 成 X.21 
DTE/DCE、 V.35 DTE/DCE、 RS232 DTE/DCE、 RS449 DTE/DCE 和 EIA530 DTE) 


等 网 络 接口 。 
4 通信 协议 功能 : 该 功能 负责 处 理 通信 协议 ， 可 以 包括 TCP/IP、PPP、X.25、 帧 中 


4 数据 包 转 发 功能 : 该 功能 主要 负责 按照 路 由 表 中 的 内 容 在 各 端口 [包括 逻辑 端 
间 转 发 数据 包 并 且 改 写 链 路 层 数 据 包头 信息 。 

4 路 由 信息 维护 功能 : 该 功能 负责 运行 路 由 协议 并 维护 路 由 表 。 路 由 协议 可 包括 RIP、 
EIGRP、OSPF、ISIS、BGP 等 协议 。 

4 ”管理 控制 功能 :该 功能 可 再 细 分 为 SNMP 代理 功能 、Telnet(SSHJ) 服 务 功能 、 本 地 
管理 、 远 端 监控 和 RMON(MIB)5 个 功能 。 通过 这 5 种 不 同 的 功能 可 以 对 路 由 器 进 


Se 
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行 控制 管理 ， 并 且 人 允许 路 由 器 记录 日 志 。 
4 ”安全 功能 :该 功能 用 于 完成 数据 包 过 滤 、 地 址 转换 、 访 问 控制 、 数 据 加 密 、 防 火 
墙 以 及 地 址 分 配 等 。 

3.2.1.2 ”路 由 器 的 配置 

1. 路 由 器 的 命令 状态 

与 交换 机 的 配置 类 似 ， 路 由 器 的 配置 操作 有 3 种 模式 ， 即 用 户 视图 、 系 统 视图 和 具体 
A 用 户 视 图 模式 下 ， 在 用 户 视 图 下 ， 用 户 可 以 完成 查看 运行 状态 和 统计 信息 等 功 

， 这 些 命令 对 路 由 器 的 正常 工作 没有 影响 ， 在 系统 视图 模式 下 ， Sd 
让 及 通过 沪 视 图 渴 入 次 他 的 功能 本 和 视图， 在 具体 业务 视图 模式 下 ， 用 户 可 以 配置 接 
关 的 物理 属性 、 链 接 层 特性 及 卫 地 址 等 重要 参数 ， ae 
式 下 配置 。 

其 中 ， 配 置 模式 又 分 为 全 局 配置 模式 、 接 口 配置 模式 、 路 由 协议 配置 模式 、 线 路 配置 
模式 等 子 模式 。 在 不 同 的 工作 模式 下 ， 路 由 器 有 不 同 的 命令 提示 状态 。 

<Switch>。 在 交换 机 正常 启动 后 ， 用 户 使 用 终端 仿真 软件 或 Telent 登录 交换 机 ， 可 自 
动 进入 用 户 配 置 模 式 ， 这 时 用 户 可 以 看 路 由 器 的 连接 状态 ， 访 问 其 他 网 络 和 主机 ， 但 不 能 
看 到 和 更 改 路 由 器 的 设置 内 容 。 

[Switch]。 路 由 器 处 于 系统 视图 命令 状态 ， 在 <Switch> 提 示 符 下 输入 system-view， 可 进 
入 系统 视图 状态 ， 这 时 不 仅 可 以 执行 所 有 的 用 户 命令 ， 还 可 以 看 到 和 更 改 路 由 器 的 设置 内 
容 。 

[Switeh-vlan]。 路 由 器 处 于 具体 的 业务 视图 状态 ， 在 [Switch] 提 示 符 下 输入 需要 配置 的 
业务 命令 ， 可 进入 该 状态 。 退 出 具体 的 业务 输入 quit。 

在 开机 自 检 时 ， 按 Ctrl+Break 组 合 键 可 进入 BootROM menu 状态 ， 这 时 路 由 器 不 能 完 
成 正常 的 功能 ， 只 能 进行 软件 升级 和 手工 引导 ， 或 者 进行 路 由 器 口令 恢复 时 要 进入 该 状态 。 

2. 路 由 器 的 基本 配置 


配置 enable 口令 、enable 密码 和 主机 名 ， 在 路 由 器 中 同样 可 以 配置 启用 口令 (enable 
password) 和 启用 密码 (enable secreb， 一 般 情况 下 只 需 配置 一 个 就 可 以 ， 当 两 者 同时 配置 时 ， 
后 者 生效 。 这 两 者 的 区 别 是 启用 口令 以 明文 显示 而 启用 密码 以 密 文 形式 显示 。 主 机 名 及 路 
由 器 口令 的 设置 和 上 一 节 对 交换 机 配置 的 主机 名 及 口令 相同 ， 这 里 不 再 熬 述 。 

配置 路 由 器 以 太 网 接口 ， 路 由 器 一 般 提供 一 个 或 多 个 以 太 网 接口 槽 ， 每 个 槽 上 会 有 一 
个 以 上 以 太 网 接口 。 以 太 网 接口 因此 而 命名 为 {Ethernet 槽 位 /端口 } 或 {GigabitEthemet 槽 位 / 
端口 }， 例 如 Ethemet0/0、GigabitEthemet0/0/1， 也 可 缩写 为 Eth0/0、GE0/0/1。 

对 以 太 网 接口 做 如 下 配置 : 

# 设 置 系统 的 日 期 、 时 间 和 时 区 


<Huawei>clock timezone BJ add 08:00:00 
<Huawei>clock datetime 20:10:00 2015-03-26 


# 设 置 设备 名 称 和 管理 IP 地 址 
<Huawei>system-view 


[Huaweilsysname Server 
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[Server]interface gigabitethernet 0/0/0 
[Server-GigabitEthernet0/0/0]ip address 10.137.217.177 24 
[Server-GigabitEthernet0/0/0]quit 


# 设 置 Telnet 用 户 的 级 别 和 认证 方式 

[Server] telent server enable 

[Server] user-interface vty 0 4 

[Server-ui-vty0-4]user privilege level 15 

[Server-ui-vty0-4]authentication-mode aaa 

[Server-ui-vty0-4]quit 

[Server]aaa 

[Server-aaa] local-user admin1234 password irreversible-cipher 

Hellowor1d@6789 

[Server-aaa] local-user admin1234 privilege level 15 

[Server-aaa] local-user admin1234 service-type telent 

[Server-aaa] quit 

由 于 同一 广 商 的 网 络 设备 往往 采用 一 种 网 络 操作 平台 ， 交 换 机 、 路 由 器 的 配置 以 及 命 
令 的 使 用 都 是 相似 的 。 

3. 批量 配置 技术 

大 型 网 络 的 组 网 和 网 络 管理 中 都 会 同时 用 到 多 个 路 由 器 和 交换 设备 ， 可 以 通过 批量 配 
置 技术 快速 配置 多 台 网 络 设备 。 例 如 ， 华 为 交换 机 AR 系列 路 由 器 通过 Auto-Config 功能 实 
现 设备 的 批量 配置 ，Auto-Config 是 指 新 出 厂 或 空 配 置 设备 加 电 启动 时 采用 的 一 种 自动 加 载 
版 本 文件 (包括 系统 软件 、 补 丁 文件 、 配 置 文件 ) 的 功能 。 

如 图 3-4 所 示 , RouterA、RouterB 和 RouterC 运行 Auto-Config 功能 后 , 设备 作为 DHCP 
客户 端 定时 向 DHCP 服务 器 发 送 DHCP 请 求 报 文 以 获得 配置 信息 ,然后 DHCP 服务 器 向 待 
配置 设备 响应 DHCP 应 答 报 文 ， 报 文 内 容 包 括 分 配给 待 配 置 设备 的 也 地 址 、 文 件 服务 器 的 
IP 地 址 、 文 件 服务 器 的 登录 方式 、 版 本 文件 的 配置 信息 (此 信息 也 可 以 通过 中 间 文 件 获取 ， 
中 间 文 件 需 要 预先 编辑 存放 在 文件 服务 器 )， 最 后 设备 根据 收 到 的 DHCP 响应 报 文中 携带 的 
配置 信息 向 指定 的 文件 服务 器 自动 获取 版 本 文件 并 设置 为 下 次 启动 加 载 的 文件 ， 待 设备 重 
启 后 ， 设 备 就 实现 了 版 本 文件 的 自动 加 载 。 


Router A 


DHCP 服务 器 


Router B 3 


FTP/TFTP/SFTP 服务 器 


RouterC 
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若 网 络 中 有 一 台 SFTP 服务 器 (GE0/0/1, IP 地 址 172.16.100.100/24), 一 台 DHCP 服务 器 
(GE0/0/1，IP 地 址 172.16.100.1/24 用 于 与 SFTP 互联 ;Eth1/0/1-3，VLANIF10，IP 地 址 
172.16.200.100/24 用 于 与 待 配置 路 由 器 互联 )，3 台 待 配置 路 由 器 。 举 例 说 明 配置 同 网 段 
Auto-Config 步骤 。 

步骤 1: 配置 SFTP 服务 器 。 


# 配 置 SFTP 服务 器 功能 及 参数 
<Huawei> system-view 
[Huawei] sysname SFTP Server 
[SFTP Server] rsa local-key-pair create The key name will be: Host 
RSA keys defined for Host already exist. 
Confirm to replace them? (y/n) [n] :Y 
The range of public key size is (512 一 2048) . 
NOTES: If the key modulus is less than 2048, 

It will introduce potential secunty risks. 
Input the bits in the modulus [default = 2048] :2048 
Generating keys 


[SFTP Server] sftp server enable 


# 配 置 SSH 用 户 登录 的 用 户 界面 

[SFTP Server] user-interface vty 0 4 

[SFTP Server-ui-vty0-4] authentication-mode aaa 
[SFTP Server-ui-vty0-4] protocol inbound all 
[SFTP Server-ui-vty0-4] user privilege level 15 
[SFTP Server-ui-vty0-4] quit 


# 配 置 SSH 用 户 

[SFTP Server] aaa 

[SFTP Server-aaa] local-user user password 

Please configure the login password (8-128) 

It is recommended that the password consist of at least 2 types of characters, 


including lowercase letters, uppercase letters, numerals and special 
characters. 

Please entes password: 

Please confirm password: 

[SFTP Server-aaa] local-user user privilege level 15 

[SFTP Server-aaa] local-user user service-type ssh 


[SFTP Server-aaa] local-user user ftp-directory flash:\autoconfig 
[SFTP Server-aaa] quit 
[SFTP Server] ssh user user authentication-type password 


# 配 置 SFTP 服务 器 的 IP 地 址 

[SFTP Server] interface gigabitethernet 0/0/1 

[SFTP Server-GigabitEthernet0/0/1] ip address 172.16.100.100 255.255.255.0 
[SFTP Server-GigabitEthernet0/0/1 quit 


# 在 SFTP 服务 器 上 配置 缺 省 路 由 
[SFTP Server] ip route-static 0.0.0.0 0.0.0.0 172.16.100.1 
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步骤 2: 将 配置 文件 、 系 统 软件 和 补丁 文件 上 传 至 SFTP 服务 器 的 工作 目录 flash'\ 
autoconfig 上 (上 传 步骤 略 )。 
步骤 3: 配置 DHCP 服务 器 (以 AR2220 为 例 )。 


<Huawei> system-view 
[Huawei] sysname DHCP Server 
[DHCP Server] dhcp enable 
[DHCP Server] vlan 10 
[DHCP Server-vlan10] quit 
CP Server] interface ethernet 1/0/1 
[DHCP Server-Ethernet1/0/1] port link-type hybrid 
CP Server-Ethernet1/0/1] port hybrid untagged vlan 10 
CP Server-Ethernet1/0/1] port hybrid pvid vlan 10 
CP Server-Ethernet1/0/1] quit 
CP Server] interface ethernet 1/0/2 
CP Server-Ethernet1/0/2] port link-type hybrid 
CP Server-Ethernet1/0/2] port hybrid untagged vlan 10 
CP Server-Ethernet1/0/2] port hybrid pvid vlan 10 
CP Server-Ethernet1/0/2] quit 
CP Server] interface Ethernet 1/0/3 
CP Server-Ethernet1/0/3] port link-type hybrid 
CP Server-Ethernet1/0/3] port hybrid untagged vlan 10 
CP Server-Ethernet1/0/3] port hybrid pvid vlan 10 
DHCP Server-Ethernet1/0/3] quit 
C 
co 
i 
C 
C 
Cc 
c 
C 
IC 
jd 
Ic: 
0 
Cc: 
C 


Pp Server] interface gigabitEthernet 0/0/1 

P Server-GigabitEthernet0/0/1] ip address 172.16.100.1 255.255.255.0 
P Server-GigabitEthernet0/0/1] quit 

P Server] interface vlanif 10 

P Server-Vlanif10] ip address 172.16.200.100 255.255.255.0 

P Server-Vlanif10] dhcp select global 

P Server-Vlanif10] quit 

P Server] ip pool auto-config 

P Server-ip-pool-auto-config] network 172.16.200.0 mask 255.255.255.0 
P Server-ip-pool-auto-config] gateway-list 172.16.200.100 

P Server-ip-pool-auto-config] option 67 ascii ar V200R008 

(C20&C30) .cfg 
P Server-ip-pool-auto-config] option 141 ascii user 

P Server-ip-pool-auto-config] option 142 cipher Huawei@123 

[DHCP Server-ip-pool-auto-config] option 143 ip-address 172.16.100.100 
[DHCPServer-ip-pool-auto-config]optionl45ascii vrpfile=auto V200R008 
(C20&8C30) .cc;vrpver=V200R008 (C20&C30) ;patchfile=ar V200R008 
(C20gC30) .pat; 
[DHCP Server-ip-pool-auto-config] quit 


步骤 4: 待 配置 设备 RouterA、RouterB 和 RouterC 通电 启动 ，Auto-Config 流程 开始 
运行 。 

步骤 5: 检查 配置 结果 。 

# Auto-Config 流程 结束 后 ， 登 录 到 待 配置 设备 ， 执 行 命令 display startup， 查 看 设备 当 
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前 的 启动 系统 软件 ， 启 动 配置 文件 和 启动 补丁 文件 。 
以 RouterA 为 例 : 


<Huawei> display startup 


MainBoard: 
Startup system software: flash:/ar V200R008 (C20&C30) .cc 
Next startup system sofiware: flash:/ar V200R008 
(C20&C30) .cc 
Backup system software for next startup: null 
Startup saved-configuration file: flash:/ar V200R008 
(C20&C30) .cfg 
Next startup saved-configuration file flash:/ar V200R008 
(C20&C30) .cfg 
Startup license file: null 
Next startup license file: null 
Startup patch package: flash:/ar V200R008 
(C20&C30) .pat 
Next startup patch package: flash:/ar V200R008 (C20&C30) .pat 
Startup voice-files: null 
Next startup voice-files: null 


4. 配置 静态 路 由 

通过 配置 静态 路 由 ， 用 户 可 以 人 为 地 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 ， 网 络 结 
构 比 较 简 单 ， 且 一 般 到 达 某 一 网 络 所 经 过 的 路 径 唯一 的 情况 下 采用 静态 路 由 。 

1) ”IPv4 静态 路 由 设置 

在 创建 静态 路 由 时 ， 用 户 可 以 同时 指定 出 接口 和 下 一 跳 。 对 于 不 同 的 出 接口 类 型 ， 也 
可 以 只 指定 出 接口 或 只 指定 下 一 跳 。 

4 对 于 点 到 点 接口 ， 指 定 出 接口 。 

4 ， 对 于 NBMA(Non Broadcast Multiple Access) 接 口 ， 指 定 下 一 跳 。 

4 ”对 于 广播 接口 (如 以 太 网 接口 )， 指 定 下 一 跳 。 

在 创建 相同 目的 地 址 的 多 条 静态 路 由 时 ， 如 果 指定 相同 优先 级 ， 则 可 实现 负载 分 担 ， 
如 果 指定 不 同 优先 级 ， 则 可 实现 路 由 备份 。 

在 创建 静态 路 由 时 ， 如 果 将 目的 地 址 与 掩 码 配 置 为 全 零 ， 则 表示 配置 的 是 IPv4 静态 缺 
省 路 由 。 缺 省 情况 下 ， 没 有 创建 Pv4 静态 缺 省 路 由 。 

操作 步骤 如 下 。 

(1) 执行 命令 system-view， 进 入 系统 视图 。 

(2) 配置 IPv4 静态 路 由 。 

4 ”在 公 网 上 配置 IPv4 静态 路 由 : ip route-static ip-address { mask | mask-length } 

{ nexthop-address | interface-type interface-number [ nexthop-address ] | vpn-instance 


vpn-instance-name nexthop-address } [ preference preference | tag tag ] * [ description 
text ] 

4 在 VPN 实例 中 配置 IPv4 静态 路 由 : ip route-static vpn-instance vpn-source-name 
destination-address { mask | mask-length } { nexthop-address [ public ] | interface-type 
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interface-number [ nexthop-address ] | vpn-instance Vpn-instance-name nexthop-address } 
[ preference preference | tag tag ] * [ description text ] 
2) ”IPv6 静态 路 由 设置 
在 创建 静态 路 由 时 ， 可 以 同时 指定 出 接口 和 下 一 跳 。 对 于 不 同 的 出 接口 类 型 ， 也 可 以 
只 指定 出 接口 或 只 指定 下 一 跳 。 
4 ”对 于 点 到 点 接口 ， 指 定 出 接口 。 
4 ， 对 于 NBMA(Non Broadcast Multiple Access) 接 口 ， 指 定 下 一 跳 。 
4 ”对 于 广播 类 型 接口 ， 指 定 出 接口 。 如 果 也 指定 下 一 跳 ， 下 一 跳 地 址 可 以 不 是 链 路 
本 地 地 址 。 
在 创建 相同 目的 地 址 的 多 条 静态 路 由 时 ， 如 果 指 定 相 同 优先 级 ， 则 可 实现 负载 分 担 ， 
如 果 指 定 不 同 优先 级 ， 则 可 实现 路 由 备份 。 
在 创建 静态 路 由 时 ， 如 果 将 目的 地 址 与 掩 码 配置 为 全 零 ， 则 表示 配置 的 是 IPv6 静态 缺 
省 路 由 。 缺 省 情况 下 ， 没 有 创建 IPv6 静态 缺 省 路 由 。 
操作 步骤 如 下 。 
(1) 执行 命令 system-view， 进 入 系统 视图 。 
(2) 配置 IPv6 静态 路 由 。 
* 在 公 网 上 配置 IPv6 静态 路 由 : ipv6 route-static dest-ipv6-address prefix-length 
{ interface-type interface-number [ nexthop-ipv6-address ] | nexthop-ipv6-address } 


[preference preference | tag tag ] * [ description text ] 

9 ”在 VPN 实例 中 配置 IPv6 静态 路 由 : ipv6 route-static vpn-instance vpn-instance-name 
dest-ipv6-address prefix-length { [ interface-type interface-number ] 
nexthop-ipv6-address | nexthop-ipv6-address [ public ] | vpn-instance 
vpn-destination-name nexthop-ipv6-address } [ preference preference | tag tag ] * 
[ description text ] 


3.2.1.3 配置 路 由 协议 

1. 配置 RIP 协议 

1) 配置 RIP 协议 

RIP 是 距离 矢量 路 由 选择 协议 的 一 种 。 路 由 器 收集 所 有 可 到 达 目 的 地 的 不 同 路 径 , 并 且 
保存 有 关 到 达 每 个 目的 地 的 最 少 站 点 数 的 路 径 信息 ， 除 到 达 目 的 地 的 最 佳 路 径 外 ， 任 何其 
他 信息 均 予 以 丢弃 。 同 时 ， 路 由 器 也 把 所 收集 的 路 由 信息 用 RIP 协议 通知 相 邻 的 其 他 路 由 
器 。 这 样 ， 正 确 的 路 由 信息 逐渐 扩散 到 了 全 网 。 

RIP 使 用 非常 广泛 , 它 简单 、 可 靠 , 便于 配置 。 RIP 版 本 2 还 支持 无 类 域 问 路 由 (Classless 
Inter-Domain Routing, CIDR)、 可 变 长 子 网 掩 码 (Variable Length Subnetwork Mask, VLSM) 和 
不 连续 的 子 网 ， 并 且 使 用 组 播 地 址 发 送 路 由 信息 。 但 是 RIP 只 适用 于 小 型 的 同 构 网 络 ， 因 
为 允许 的 最 大 跳 数 为 1 5， 任何 超过 15 个 站 点 的 目的 地 均 被 标记 为 不 可 达 。RIP 每 隔 30s 广 
播 一 次 路 由 信息 。 

RIP 应 用 于 OSI 网 络 七 层 模型 的 应 用 层 。 各 厂家 定义 的 管理 距离 (AD， 即 优先 级 ) 略 有 
不 同 ， 华 为 定义 的 优先 级 是 100。 
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假设 有 如 图 3-5 所 示 的 网 络 拓扑 结构 ， 试 通过 配置 使 RouterA、RouterB、RouterC 和 


RouterD 的 所 有 接口 上 使 能 RIP， 并 使 用 RIP-2 进行 网 络 互 连 。 


RouterC 
= 
民 


GE2/0/0 
172.16.1.2/24 


GE1/0/0 RouterB | GE2/00 GE3/0/0 
E192.168.1.1/24 E172.16.1.1/24 10.1.1.2124 33 


GE1/0/0 GE3/0/0 
RouterA 192.168.1.2/24 10.1.1.1/24 RouterD 


3-5 网络 拓扑 结构 


(1) 配置 思路 。 

采用 如 下 的 思路 配置 RIP 的 版 本 : 

4 ”配置 各 接口 的 了 P 地址 ， 使 网 络 可 达 。 

8 ”在 各 路 由 器 上 使 能 RIP， 配置 RIP 基本 功能 。 

8 ”在 各 路 由 器 上 配置 RIP-2 版 本 ， 查 看 精确 的 子 网 掩 码 信息 。 

(2) 数据 准备 。 

为 完成 此 配置 ， 需 准备 如 下 数据 : 

在 RouterA 上 指定 使 能 RIP 的 网 段 192.168.1.0。 

在 RouterB 上 指定 使 能 RIP 的 网 段 192.168.1.0，172.16.0.0，10.0.0.0。 
在 RouterC 上 指定 使 能 RIP 的 网 段 172.16.0.0。 

在 RouterD 上 指定 使 能 RIP 的 网 段 10.0.0.0。 

在 RouterA、RouterB 、RouterC 和 RouterD 上 配置 RIP-2 版 本 。 
操作 步 又。 

配置 各 接口 的 卫 地 址 ( 略 )。 

配置 RIP 基本 功能 。 


# 配置 RouterR 
[RouterRA] rip 
[RouterRA-rip-1] network 192.168.1.0 
[RouterRA-rip-1] quit 

# 配置 RouterB 
[RouterB] rip 
[RouterB-rip-1] network 192.168.1.0 
[RouterB-rip-1] network 172.16.0.0 
[RouterB-rip-1] network 10.0.0.0 
[RouterB-rip-1] quit 

# 配置 RouterC 
[RouterC] rip 
[RouterC-rip-1] network 172.16.0.0 
[RouterC-rip-1] quit 


人 9 多 


一 
四 
4 


©O 
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# 配置 RouterD 
[RouterD] rip 
[RouterD-rip-1] network 10.0.0.0 
[RouterD-rip-1] quit 
# 查看 RouterR 的 RIP 路 由 表 
[RouterRA] display rip 1 route 
Route Flags: R - RIP 
A - Rging，S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet1/0/0 


Destination/Mask Nexthop Cost Tag Flags Sec 
10.0.0.0/8 192.168.1.2 1 0 RA 14 
172.16.0.0/16 192.168.1.2 1 0 RA 14 


从 路 由 表 中 可 以 看 出 ，RIP-1 发 布 的 路 由 信息 使 用 的 是 自然 掩 码 。 
@ 配置 RIP 的 版 本 。 


# 在 RouterA 上 配置 RIP-2 
[RouterA] rip 
[RouterA-rip-1] version 2 
[RouterA-rip-1] quit 

# 在 RouterB 上 配置 RIP-2 
[RouterB] rip 
[RouterB-rip-1] version 2 
[RouterB-rip-1] quit 

# 在 RouterC 上 配置 RIP-2 
[RouterC] rip 
[RouterC-rip-1] version 2 
[RouterC-rip-1] quit 

# 在 RouterD 上 配置 RIP-2 
[RouterD] rip 
[RouterD-rip-1] version 2 
[RouterD-rip-1] quit 


@ ”验证 配置 结果 。 


# 查看 RouterA 的 RIP 路 由 表 
[RouterA] display rip 1 route 
Route Flags: R - RIP 
A - Aging，S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet1/0/0 


Destination/Mask Nexthop Cost Tag Flags Sec 
10.1.1.0/24 T9216051 .2 全 0 RA 3 
172.16:1,.0/24 192.168.1.2 1 0 RA 32 


从 路 由 表 中 可 以 看 出 ，RIP-2 发 布 的 路 由 中 带 有 更 为 精确 的 子 网 掩 码 信息 。 
2) RIP 与 BFD 联动 
双向 转发 检测 BFD (Bidirectional Forwarding Detection) 是 一 种 用 于 检测 邻居 路 由 器 之 间 
链 路 故障 的 检测 机 制 ， 它 通常 与 路 由 协议 联动 ， 通 过 快速 感知 链 路 故障 并 通告 使 得 路 由 协 
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议 能 够 快速 地 重新 收敛 ， 从 而 减少 由 于 拓扑 变化 导致 的 流量 丢失 。 

假设 有 如 图 3-6 所 示 的 网 络 拓扑 结构 , Router A、Router B 通过 二 层 交换 机 switch 互 连 ， 
在 设备 上 运行 RIP 协议 来 建立 路 由 ， 同 时 使 能 允许 RIP 在 双方 接口 上 关联 BFD 应 用 。 在 
Router B 和 二 层 交 换 机 switch 之 间 的 链 路 发 生 故 障 后 ，BFD 能 够 快速 检测 并 通告 RIP 协 
议 ， 触 发 协议 快速 收敛。 


BFD 邻 后 
GE1/1 GE2/1 GE1/ GE1/1 
192.168.1.1 192.168.3.1/24 192.168.3.2/24 192.168.2.1 
Router A Switch RouterB 


3-6 ”网 络 拓扑 结构 


Router A 配置 : 

(1) 配置 RIP 路 由 。 

RSR-A (config)#interface gigabitEthernet 2/1 
RSR-A (config-GigabitEthernet 2/1)#ip ref 


RSR-A (config-GigabitEthernet 2/1)#ip address 192.168.3.1 255.255.255.0 
RSR-A (config)#interface gigabitEthernet 1/1 


RSR-A (config-GigabitEthernet 1/1)#ip ref 

RSR-A (config-GigabitEthernet 1/1)#ip address 192.168.1.1 255.255.255.0 
RSR-A(config-router)# router rip 

RSR-A(config-router)# version 2 

RSR-A(config-router)# network 192.168.3.0 

RSR-A(config-router)# network 192.168.1.0 


(2) 配置 RIP 与 BFD 联动 。 


RSR-A (config)#interface gigabitEthernet 2/1 

RSR-A(config-GigabitEthernet 2/1)#bfd interval 500 min rx 500 multiplier 3 

// 配 置 BFD 时 间 参 数 ， 该 命令 同时 启用 了 接口 的 BFD 功能 ， 因 此 必须 配置 

这 里 的 500/500/3 为 推荐 配置 ， 间 隔 500ms 发 送 一 个 探测 报 文 ， 连 续 3 个 没收 到 回应 
宣告 链 路 失败 。 


RSR-A (config-GigabitEthernet 2/1)#no bfd echo 
// 推 荐 配置 为 该 模式 (ctrl 模式 ) ， 默 认 是 bfd echo 模式 


和 友 商 对 接 更 是 推荐 ctrl 模式， 否则 可 能 对 接 不 起 来 。 
RSR-RA(config-GigabitEthernet 2/1)#ip rip bfd 
// 在 对 应 的 接口 开启 RIP 与 BFD 联动 功能 

Router B 配置 : 

(1) 配置 RIP 路 由 。 


RSR-B (config)#interface gigabitEthernet 2/1 
RSR-B (config-GigabitEthernet 2/1)#ip ref 
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RSR-B (config-GigabitEthernet 2/1)#ip address 192.168.3.2 255.255.255.0 
RSR-B (config)#interface gigabitEthernet 1/1 

RSR-B (config-GigabitEthernet 1/1)#ip ref 

RSR-B (config-GigabitEthernet 1/1)#ip address 192.168.2.1 255.255.255.0 
RSR-B (config-router)# router rip 

RSR-B (config-router)# version 2 

RSR-B (config-router)# network 192.168.3.0 

RSR-B (config-router)# network 192.168.2.0 


(2) 配置 RIP 与 BFD 联动 。 


RSR-B (config)#interface gigabitEthernet 2/1 

RSR-B (config-GigabitEthernet 2/1)#bfd interval 500 min rx 500 multiplier 3 
RSR-B (config-GigabitEthernet 2/1)#no bfd echo 

RSR-B (config-GigabitEthernet 2/1)#ip rip bfd 


2. 配置 IS-IS 协议 
中 间 系 统 到 中 间 系 统 IS-IS(Intermediate System to Intermediate System) 属 于 内 部 网 关 协 


议 IGP (Interior Gateway Protocol)， 用 于 自治 系统 内 部 。 为 了 支持 大 规模 的 路 由 网 络 ，IS-IS 
在 自治 系统 内 采用 骨干 区 域 与 非 骨干 区 域 两 级 的 分 层 结构 。 一 般 来 说 ,将 Level-1 路 由 器 部 
署 在 非 骨干 区 域 , Level-2 路 由 器 和 Level-1-2 路 由 器 部 署 在 骨干 区 域 。 每 一 个 非 骨干 区 域 都 


通过 Level-1-2 路 由 器 与 骨干 区 域 相连 。 


IS-IS 是 一 种 链 路 状态 路 由 协议 ， 每 一 台 路 由 器 都 会 生成 一 个 LSP， 它 包含 了 该 路 由 器 
所 有 启用 IS-IS 协议 接口 的 链 路 状态 信息 。 通 过 跟 相 邻 设备 建立 IS-IS 邻接 关系 ， 互 相 更 新 
本 地 设备 的 LSDB， 可 以 使 得 LSDB 与 整个 IS-IS 网 络 的 其 他 设备 的 LSDB 实现 同步 。 然 后 
根据 LSDB 运用 SPF 算法 计算 出 IS-IS 路 由 。 如 果 此 IS-IS 路 由 是 到 目的 地 址 的 最 优 路 由 ， 


则 此 路 由 会 下 发 到 下 路 由 表 中 ， 并 指导 报 文 的 转发 。 


其 相关 命令 如 表 3-2 所 示 。 
表 3-2 IS-IS 的 相关 命令 


命 令 功 能 

isis [process-id 创建 IS-IS 进程 并 进入 IS-IS 视图 

Isis circuitlevel[level-lllevel-1-2llevel-2] “| 设置 接口 的 Level 级 别 , 默认 情况 下 , 接口 的 Level 级 别 为 
Level-1-2 

Network-entity net 设置 网 络 实体 名 称 

Net 格式 为 x…x.xxxx.xxxx.xxxx.00， 前 面 的 “x…x” 是 区 域 地 
址 , 中 间 的 12 个 “x” 是 路 由 器 的 System ID, 最 后 的 “00” 
是 SEL 

Isis enable[process-id] 指定 IS-IS 的 进程 号 ， 默 认为 1，IS-IS 将 通过 该 接口 建立 
邻居 、 扩 散 LSP 报 文 

Display isis peer 查看 IS-IS 的 邻居 信息 

Display isis route 查看 IS-IS 的 路 由 信息 


3. 配置 OSPF 协议 
开放 最 短路 径 优先 协议 是 重要 的 路 由 选择 协议 ， 它 是 一 种 链 路 状态 路 由 选择 协议 ， 是 
由 Internet 工程 任务 组 开发 的 内 部 网 关 路 由 协议 ， 用 于 在 单一 自治 系统 内 决策 路 由 。 
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链 路 是 路 由 器 接口 的 另 一 种 说 法 ， 因 此 ，OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通过 
路 由 器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 , 生成 最 短路 径 树 , 每 个 OSPF 路 由 
器 使 用 这 些 最 短路 径 构造 路 由 表 。 下 面 分 别 介绍 OSPF 协议 的 相关 要 点 。 

(1) 自治 系统 。 自 治 系统 包括 一 个 单独 管理 实体 下 所 控制 的 一 组 路 由 器 ，OSPF 是 内 部 
网 关 路 由 协议 ， 工 作 于 自治 系统 内 部 。 

(2) 链 路 状态 。 所 谓 链 路 状态 ， 是 指 路 由 器 接口 的 状态 ， 例 如 Up. Down、 卫 地 址 、 网 
络 类 型 、 链 路 开销 以 及 路 由 器 和 它 邻 接 路 由 器 间 的 关系 。 链 路 状态 信息 通过 链 路 状态 通告 
(Link State Advertisement，LSA) 扩 散 到 网 络 上 的 每 台 路 由 器 ， 每 台 路 由 器 根据 LSA 信息 建 
立 一 个 关于 网 络 的 拓扑 数据 库 。 

(3) 最 短路 径 优先 算法 。OSPF 协议 使 用 最 短路 径 优先 算法 ， 利 用 从 LSA 通告 得 来 的 
信息 计算 到 达 每 一 个 目标 网 络 的 最 短路 径 ， 以 自身 为 根 生成 一 棵 树 ， 包 含 了 到 达 每 个 目的 
网 络 的 完整 路 径 。 

(4) 路 由 器 标识 。OSPF 的 路 由 标识 是 一 个 32 位 的 数字 ， 它 在 自治 系统 中 被 用 来 唯一 
地 识别 路 由 器 。 默 认 使 用 最 高 回 送 地 址 ， 若 回 送 地 址 没有 被 配置 ， 则 使 用 物理 接口 上 最 高 
的 他 地 址 作为 路 由 器 标识 。 

(5) 邻居 和 邻接 。OSPF 在 相 邻 路 由 器 间 建 立 邻 接 关 系 ， 使 它们 交换 路 由 信息 。 邻 居 是 
指 共享 同一 网 络 的 路 由 器 ， 并 使 用 Hello 包 来 建立 和 维护 邻居 路 由 器 间 的 邻接 关系 。 

(6) 区 域 。 在 OSPF 网 络 中 使 用 区 域 (Area) 为 自治 系统 分 段 。OSPF 是 一 种 层次 化 的 路 
由 选择 协议 ， 区 域 0 是 一 个 OSPF 网 络 中 必须 具有 的 区 域 , 也 称 为 主干 区 域 , 其 他 所 有 区 域 
要 求 通过 区 域 0 互联 到 一 起 。 

其 相关 命令 及 说 明 如 表 3-3 所 示 。 


表 3-3 ”OSPF 的 相关 命令 及 功能 


命令 功 能 
ospf[process-idjrouter-id router-idjvpn-instance vpn-instance-name] | 启动 OSPF 进程 ， 进 入 OSPF 视图 
area area-id 创建 并 进入 OSPF 区 域 视图 
network ip-address wildcard-mask 配置 区 域 所 包含 的 网 段 
display ospf peer 查看 OSPF 邻居 信息 
display ospf routineg 查看 OSPF 路 由 信息 


4. 配置 BGP 协议 


边界 网 关 协 议 BGP(Border Gateway Protocol) 是 一 种 实现 自治 系统 AS (Autonomous 
System) 之 间 的 路 由 可 达 ， 并 选择 最 佳 路 由 的 距离 矢量 路 由 协议 。 它 具有 以 下 特点 。 

(1) 实现 自治 系统 间 通 信 网 络 的 信息 可 达 , BGP 允许 一 个 AS 向 其 他 AS 通告 其 内 部 网 
络 的 可 达 性 信息 ， 或 者 是 通过 该 AS 可 达 的 其 他 网 络 的 路 由 信息 。 

(2) 多 个 BGP 路 由 器 之 间 的 协调 ， 如 果 在 一 个 自治 系统 内 部 有 多 个 路 由 器 分 别 使 用 
BGP 与 其 他 自治 系统 中 对 等 路 由 器 进行 通信 ， 则 通过 协调 使 这 些 路 由 器 保持 路 由 信息 的 一 
致 性 


(3) BGP 支持 基于 策略 的 路 径 选择 , 可 以 为 域内 和 域 间 的 网 络 可 达 性 配置 不 同 的 策略 。 
(4) BGP 只 需要 在 启动 时 交换 一 次 完整 信息 ， 不 需要 在 所 有 路 由 更 新 报 文中 传送 完整 
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的 路 由 数据 库 信 息 ， 后 续 的 路 由 更 新 报 文 只 通告 网 络 的 变化 信息 ， 避 免 网 络 变化 使 得 信息 
量 大 幅 增 加 。 
(5) 在 BGP 通告 目的 网 络 的 可 达 性 信息 时 ,除了 处 理 指定 目的 网 络 的 下 一 跳 信息 之 外 ， 
通告 中 还 包括 了 通路 向 量 , 即 去 往 该 目的 网 络 时 需要 经 过 的 AS 的 列表 , 使 接受 者 能 够 清楚 
了 解 去 往 目的 网 络 的 通路 信息 。 

除了 以 上 这 些 ，BGP 人 允许 发 送 方 把 路 由 信息 聚集 在 一 起 ， 用 一 个 条 目 来 表示 多 个 相关 
的 目的 网 络 ， 以 节约 网 络 带 宽 。 人 允许 接收 方 对 报 文 进行 鉴别 ， 以 验证 发 送 方 的 身份 等 多 个 
特点 。 

BGP 在 不 同 自治 系统 (AS) 之 间 进 行路 由 转发 , 分 为 EBGP 和 IBGP 两 种 情况 。EBGP 为 
外 部 边界 网 关 协 议 ， 用 于 在 不 同 的 自治 系统 间 交 换 路 由 信息 。IBGP 为 内 部 边界 网 关 协 议 ， 
用 于 向 内 部 路 由 器 提供 更 多 信息 。 

其 相关 命令 及 说 明 如 表 3-4 所 示 。 


表 3-4 BGP 的 相关 命令 及 功能 


命令 功 能 
bgp {as—number-plainlas-number-dot} 启动 BGP, 指定 本 地 AS 编 
号 ， 并 进入 BGP 视图 
router-id ipv4-address 配置 BGP 的 Router ID 
eer {ipv4-addresslipv6-addressYas-number {as-number-plainlas-number-dot; | 创建 BGP 对 等 体 
ipv4-family {unicastlmulticast 进入 IPv4 地 址 族 视图 
import-route direct 管理 人 P 所 在 的 网 段 路 由 ， 
并 引入 RIP 路 由 表 


3.2.2 ”典型 例题 分 析 


例 1 【说 明 】(2016 年 上 半年 下 午 试题 二 ) 
某 学 校 的 网 络 拓扑 结构 图 如 图 3-7 所 示 。 


172.16.50.1/24 FO0/5) 


PN 


家 属 区 ”学生 宿舍 区 教学 区 办 公 区 
172.16.10.0/24 172.16.20.0/24 。 172.16.30.024 172.16.40.0/24 


图 3-7 某 学 校 网 络 拓扑 结构 图 
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【问题 1】( 每 空 1] 分 ， 共 7 分 ) 

常用 的 人 P 访问 控制 列表 有 两 种 ， 它 们 是 编号 为 _Q) 和 1300 一 1399 的 标准 访问 控制 
列表 和 编号 为 (2) _ 和 2000~2699 的 扩展 访问 控制 列表 。 其中， 标准 访问 控制 列表 是 根据 
也 报 文 的 _(3) 来 对 外 报 文 进行 过 滤 , 扩 展 访问 控制 列表 是 根据 全 报 文 的 _(4) 、 (5) 、 
上 层 协议 和 时 间 等 来 对 亿 报 文 进行 过 滤 。 一 般 地 ， 标 准 访问 控制 列表 放置 在 靠近 _(6) 的 
位 置 ， 扩 展 访问 控制 列表 放置 在 靠近 _(7)_ 的 位 置 。 

【问题 2】( 每 空 1 分 ， 共 10 分 ) 

为 保障 安全 ， 使 用 ACL 对 网 络 中 的 访问 进行 控制 。 访 问 控制 的 要 求 如 下 。 

(1) 家 属 区 不 能 访问 财务 服务 器 ， 但 可 以 访问 互联 网 。 

(2) 学 生 宿舍 区 不 能 访问 财务 服务 器 ， 且 在 每 天 18:00 一 24:00 禁止 访问 互联 网 。 

(3) 办 公 区 可 以 访问 财务 服务 器 和 互联 网 。 

(4) 教学 区 禁止 访问 财务 服务 器 ， 且 每 天 8:00 一 18:00 禁止 访问 互联 网 。 

1. 使 用 ACL 对 财务 服务 器 进行 访问 控制 ， 请 将 下 面 配置 补充 完整 。 

Rl(config)#access-listl_ (8) _ _ (9) 0.0.0.255 

Rl(config)#access-listl deny 172.16.10.0 0.0.0.255 

Rl(config)#access-listl deny 172.16.20.0 0.0.0.255 

Rl(config)#access-listl deny _ (10) 0.0.0.255 

Rl(config)#interface_ (11) 

Rl(config-if)#ip access-groupl__ (12) 

2. 使 用 ACL 对 Internet 进行 访问 控制 ， 请 将 下 面 配 置 补充 完整 。 

Route-Switch (config)#time-range jsp // 定 义 教学 区 时 间 范 围 

Route-Switch (config-time-range)# periodic daily (13) 

Route-Switch (config)#time-range xsssq // 定 义学 生 宿 舍 区 时 间 范 围 

Route-Switch (config-time-range)#periodic (14) 18:00 t0 24:00 

Route-Switch (config-time-range) #exit 

Route-Switch (config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any 

Route-Switch (config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any 

Route-Switch (config)#access-list 100 deny ip (15) 0.0.0.255 time-range jsp 

Route-Switch (config)#access-list 100 deny ip (16) 0.0.0.255 time-range xsssq 


Route-Switch (config)#interface (17) 
Route-Switch (config-if)# ip access-group 100 out 


【问题 3】( 每 空 1 分 ， 共 3 分 ) 
网 络 在 运行 过 程 中 发 现 ， 家 属 区 网 络 经 常 受到 学 生 宿舍 区 网 络 的 DDoS 攻击 ， 现 对 家 
属 区 网 络 和 学 生 宿舍 区 网 络 之 间 的 流量 进行 过 滤 ， 要 求 家属 区 网 络 可 访问 学 生 宿舍 区 网 络 ， 
但 学 生 宿舍 区 网 络 禁 止 访问 家 属 区 网 络 。 

采用 自 反 访问 列表 实现 访问 控制 ， 请 解释 配置 代码 。 


Route-Switch (config)#ip access-list extended infilter 

Route-Switch (config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect 
jsp // (18) 

Route-Switch (config-ext-nacl)#exit 

Route-Switch (config)#ip access-list extended outfilter 

Route-Switch (config-ext-nacl)# evaluate jsp // (19) 
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Route-Switch (config-ext-nacl)#exit 

Route-Switch (config)#interface fastethernet 0/1 

Route-Switch (config-if)#ip access-group infilter in 
Route-Switch (config-if)#ip access-group outfilter out // (20) 


答案 : 
【问题 1】( 每 空 1 分 ， 共 7 分 ) 
(D 1~99 (2)100~199 (3) 源 地 址 (4) 源 地 址 (5) 目的 地 址 
(6) 数据 目的 地 (7) 数据 源 
【问题 2】( 每 空 1 分 ， 共 10 分 ) 
(8) permit (9) 172. 16. 40.0 (10)172.16.30.0 (ID)FO1 (12)out 
(13) 8:00to 18:00 (14) daily (15)172.16.30.0 (16)172.16.20.0 (17)F015 

【问题 3】( 每 空 1 分 ， 共 3 分 ) 

(18) 当 符合 任何 网 络 访问 172. 16. 20. 0/16 网 络 的 数据 流通 过 的 时 候 ， 建 立 自 反 控 制 列 
表 jsp 

(19) 计 算 并 生成 自 反 列表 

(20) 在 接口 F0/1 出 口 方向 上 应 用 这 个 自 反 列表 

解析 : 

【问题 1】 目 前 常用 的 ACL 有 两 种 ， 分 别 是 标准 ACL 和 扩展 ACL， 其 中 ， 标 准 ACL 
使 用 1 一 99 以 及 1300 一 1999 的 数字 作为 表 号 ， 扩 展 ACL 使 用 100~199 以 及 2000 一 2699 
的 数字 作为 表 号 。 这 两 种 ACL 的 区 别 是 ， 标 准 ACL 只 检查 数据 包 的 源 地 址 ; 扩展 ACL 既 
检查 数据 包 的 源 地 址 ， 也 检查 数据 包 的 目的 地 址 ， 同 时 还 可 以 检查 数据 包 的 特定 协议 类 型 、 
端口 号 等 。 因 此 ， 在 实际 使 有 中， 标准 ACL 的 配置 位 置 要 尽量 靠近 目的 端 ， 扩 展 ACL 的 
配置 位 置 要 尽量 靠近 源 端 ， 这 样 才能 起 到 最 好 的 效果 。 

【问题 2】 题目 要 求 可 以 归纳 为 禁止 IP 地址 为 172.16.10.0/24( 家 属 区 )、172.16.20.01/24 
(学 生 宿舍 区 )、172.16.30.0/24( 教 学 区 ) 访 问 172.16.50.1/24( 财 务 服务 器 ); 允许 卫 地 址 为 
172.16.40.0/24( 办 公 区 ) 访 问 172.16.50.1/24; 172.16.10.0/24 和 172.16.40.0/24 可 以 一 直 访 问 互 
联网 ; 172.16.20.0/2 每 天 18:00 到 24:00 禁止 访问 互联 网 ; 172.16.30.0/24 每 天 8:00 到 18:00 
禁止 访问 互联 网 。 

禁止 某 网 络 地 址 访问 的 命令 为 :access-list [ACL 表 号 ] deny [ip] [mask]; 

允许 某 网 络 地 址 访问 的 命令 为 :access-list [ACL 表 号 ] permit [ip] [mask]; 

R1l(config)#access-list1(permit)(172.616.40.0) 0.0.0.255，permit 语句 ， 允 许 来 自 办 公 区 
的 数据 访问 ; 

教学 区 禁止 访问 财务 服务 器 用 deny 语句 拒绝 教学 区 的 他 地 址 ; 

Rl(config)#interface F0/1 /进去 R1 的 F0/1 端口 ， 不 能 是 F0/0 接口 ， 以 免 家 属 区 等 不 能 
访问 互联 网 ; 

R1(config-if)#ip access-groupl out// 将 ACL1 设置 到 FF0/1 端口 上 ， 在 财务 服务 器 的 端口 ， 
设置 上 这 个 ACL 表 ， 就 可 以 完成 对 财务 服务 器 的 访问 控制 了 。 

要 通过 ACL 来 限制 用 户 在 规定 的 时 间 范 围 内 访问 特定 的 服务 ， 首 先 设备 上 必须 配置 好 
正确 的 时 间 范 围 。 时 间 范 围 是 通过 配置 time-range 来 实现 的 。 

Route-Switch(config)#access-list 100 deny ip 172.16.30.0 0.0.0.255 time-range jxq // 教 学 区 
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按 jxq 时 间 范围 禁止 访问 互联 网 ， 教 学 区 卫 地 址 为 172.16.30.0; 

Route-Switch(config)#access-list 100 deny ip 172.16.40.0 0.0.0.255 time-range xsssq // 学 生 
宿舍 区 按 xsssq 时 间 范 围 禁止 访问 互联 网 ， 教 学 区 他 地 址 为 172.16.40.0; 

Route-Switch(config)#interface f0/5 //F0/5 端口 是 交换 机 连接 路 由 器 的 端口 Route-Switch 
(config-if)#ipaccess-group 100 out // 将 ACL100 设置 到 上 0/5 端口 上 。 

【问题 3 根据 题 意 要 求 在 172.16.10.0/24 的 网 段 上 添加 对 于 172.16.20.0/24 网 段 的 自 反 
访问 列表 。 

自 反 访问 列表 ReflexiveAccessLists， 根 据 一 个 方向 的 访问 控制 列表 ， 自 动 创建 出 一 个 
反方 向 的 控制 列表 ， 是 和 原来 的 控制 列表 的 瑟 的 源 地 址 和 目的 地 址 颠倒 ， 并 且 源 端口 号 和 
目的 端口 号 完全 相反 的 一 个 列表 。 并 且 还 有 一 定 的 时 间 限 制 ， 过 了 时 间 ， 就 会 超时 ， 一 旦 
超时 ， 这 个 新 创建 的 列表 就 会 消失 ， 这 个 方法 能 大 大 增加 安全 性 。 

Route-Switch(config)#ip access-list extended infilter /建立 名 为 infilter 的 访问 策略 ， 因 为 
这 个 策略 准备 设置 在 流量 的 入 口 ， 取 名 为 infilter; 

Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255reflect jsq // 当 符合 任何 
网 络 访问 172.16.20.0/16 网 络 的 数据 流通 过 的 时 候 ， 建 立 自 反 控制 列表 jsp; 

Route-Switch(config-ext-nacl)#evaluate jsq// 计 算 并 生成 自 反 列 表 ; 

Route-Switch(config-i)#ip access-group outfilter out// 在 接口 F0/1 出 口 方向 上 应 用 这 个 自 
反 列表 。 

例 2 【说 明 】(2014 年 下 半年 下 午 试题 三 ) 

某 企业 的 网 络 结构 如 图 3-8 所 示 。 


Router-NAT % 
SA 


3-8 ”企业 网 络 拓扑 结构 
按照 网 络 拓扑 结构 为 该 企业 网 络 进行 网 络 地 址 配置 ， 地 址 分 配 如 表 3-5 所 示 。 
表 3-5 网 络 地 址 分 配 表 


设 备 地 址 
Router-NAT FO0/1: 192.168.1.1/24 
S0: 61.192.93.100/24 
S1: 202.102.100.100/24 
Web 服务 器 192.168.1.100 
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续 表 
设 备 地 址 
ISP-A 61.192.93.200/24 
ISP-B 202.102.100.200/24 
ISP-A 地 址 池 61.192.93.100~61.192.93.102 
ISP-B 地 址 池 202.102.100.100~202.102.100.102 


【问题 1】(4 分 ) 
企业 网 络 中 使 用 私有 地 址 ， 如 果 内 网 用 户 要 访问 互联 网 ， 一 般 用 _(D_ 技 术 将 私有 网 
路 地 址 转换 为 公 网 地 址 。 在 用 该 技术 时 ， 往 往 是 用 _(2) 技术 指定 允许 转换 的 内 部 主机 地 
址 范围 。 一 般 来 说 ， 企 业内 服务 器 需要 被 外 部 用 户 访问 ， 就 必须 对 其 做 地 址 变换 ， 内 部 服 
务 器 映射 的 公共 地 址 不 能 随意 更 换 ， 需 要 使 用 _ (3) 技术。 但 是 对 于 企业 内 部 用 户 来 讲 ， 
使 用 一 一 映射 的 技术 为 每 个 员工 配置 一 个 地 址 很 不 现实 ,一般 使 用 _(4) _NAT 技术 以 提高 
管理 效率 。 
【问题 2】(7 分 ) 

一 般 企业 用 户 可 能 存在 于 任何 一 家 运营 商 的 网 络 中 ， 为 了 确保 每 个 运营 商 网 络 中 的 客 
户 都 可 以 高 效 地 访问 本 企业 所 提供 的 网 络 服务 ， 企 业 有 必要 同时 接 入 多 个 运营 商 网 络 ， 根 
据 企 业 网 络 的 拓扑 图 和 网 络 地 址 规划 表 ， 实 现 该 企业 出 口 的 双 线 接 入 。 

首先 ， 为 内 网 用 户 配置 NAT 转换 ， 其 中 以 61.192.93.0/24 代表 ISP-A 所 有 网 段 ， 其 次 
为 外 网 用 户 访问 内 网 服务 器 配置 NAT 转换 。 根 据 需 求 ， 完 成 以 下 Route-NAT 的 有 关 配 置 
命令 。 

Route-Switch(config)#access-list 100 permit ip any 61.192.93.0 0.0.0.255 

// 定 义 到 达 ISP-A 所 有 网 段 的 ACL 

Route-Switch(config)#access-list 101__ (5) _ip any 61.192.93.0 0.0.0.255 

Route-Switch(config)#access-list 101_ (6) _ 

// 定 义 到 达 ISP-B 所 有 网 段 的 ACL 

Route-Switch(config)#ip nat pool ISP-A__ (7) _netmask 255.255.255.0 

// 定 义 访问 ISP-A 的 合法 地 址 池 

Route-Switch(config)#ip nat pool ISP-B_ (8) netmask 255.255.255.0 

// 定 义 访问 ISP-B 的 合法 地 址 池 

Route-Switch(config)#ip nat inside source list100 pool ISP-A overload 

Route-Switch(config)#ip nat inside source_ (9) _ 

/为 内 网 用 户 实现 区 分 目标 运营 商 网 络 进行 匹配 的 NAT 转换 

Route-Switch(config)#ip nat inside source static tcp_(10) _extendable 

// 为 内 网 Web 服务 器 配置 ISP-A 的 静态 NAT 转换 

Route-Switch(config)#ip nat inside source static tcp_ (11) extendable 

/为 内 网 Web 服务 器 配置 ISP-B 的 静态 NAT 转换 

【问题 3】(6 分 ) 
在 路 由 器 的 内 部 和 外 部 接口 启用 NAT， 同 时 为 了 确保 内 网 可 以 访问 外 部 网 络 ， 在 出 
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设备 配置 静态 路 由 ， 根 据 需求 ， 完 成 (或 解释 ) 了 Route-NAT 的 部 分 配置 命令 。 


Route-Switch(config)#int SO 
Route-Switch(config)# (12) _// 指 定 NAT 的 外 部 转换 接口 
Route-Switch(config)#int S1 
Route-Switch(config)# (13) _// 指 定 NAT 的 外 部 转换 接口 
Route-Switch(config)#int fo/1 
Route-Switch(config)# (14) _// 指 定 NAT 的 内 部 转换 接口 
Route-Switch(config)# _(15) _// 配 置 到 达 ISP-A 的 流量 从 $0 口 转发 
Route-Switch(config)# (16) /配置 默认 路 由 指定 从 S1 口 转发 
Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 S0 120  //_ (7) 

【问题 4】(3 分 ) 
QoS( 服 务 质量 ) 主 要 用 来 解决 网 络 延迟 和 阻塞 等 问题 ， 它 主要 有 三 种 服务 模型 ， 分 别 为 


18)_ 模 型 、Integrated service( 集 成 服务 ) 模 型 及 _(19)_ 模 型 ， 其 中 使 用 比较 普遍 的 方式 


—(8) 
是 _(20) 模型 。 


答案 : 
【问题 1】 
(1)NAT (2)ACL (3) 静态 NAT (4) 端口 复 用 
【问题 2】 
(5) Deny 
(6) permit ip any 202.102.100.0 0.0.0.255 
(7) 61.192.93.100 61.192.93.102 
(8) 202.102.100.100 202.102.100.102 
(9) list 101 pool ISP-B overload 
(10) 192.168.1.100 61.192.93.100 80 
(11) 192.168.1.100 202.102.100.100 80 
【问题 3】 
(12) IP NAT OUTSIDE 
(13) IP NAT OUTSIDE 
(14) IP NAT INSIDE 
(15) IP ROUTE 61.192.93.0 255.255.255.0 SO 
(16) 了 ROUTE 0.0.0.0 0.0.0.0 S1 
(17) 配置 浮动 默认 路 由 
【问题 4】 
(18) 区 分 服务 
(19) 尽力 而 为 服务 
(20) 尽力 而 为 服务 
解析 : 
【问题 1】 本 问题 主要 考查 NAT 转换 的 相关 知识 。 
一 般 来 说 ， 由 于 企业 内 网 大 都 使 用 私有 网 络 地 址 ， 私 有 地 址 只 能 在 局 域 网 中 使 用 ， 不 
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能 出 现在 互联 网 上 ， 那 么 使 用 私有 地 址 的 内 部 主机 想 要 访问 互联 网 ， 就 必须 使 用 地 址 转换 
技术 将 其 转换 为 公有 地 址 ， 也 就 是 说 如 果 内 网 用 户 想 要 访问 互联 网 ， 就 必须 使 用 NAT 地 址 
转换 技术 ， 将 私有 地 址 转换 为 在 互联 网 应 用 的 公有 地 址 。 在 使 用 NAT 地 址 转换 技术 时 ， 往 
往 要 使 用 ACL 技术 来 指定 允许 转换 的 内 部 主机 地 址 范围 。 

根据 映射 的 方式 ， 可 以 将 NAT 技术 分 为 静态 NAT 和 动态 NAT。 其 中 ， 静态 NAT 是 
手工 配置 的 内 部 私有 地 址 和 外 部 公共 地 址 的 对 应 关系 ， 除 非 人 工 修改 ， 否 则 不 会 变化 ， 一 
般 对 外 发 布 服务 器 使 用 静态 NAT 技术 。 动态 NAT 是 多 个 内 部 主机 和 外 部 公共 地 址 随机 对 
应 的 一 种 方式 ， 主 要 是 通过 指定 内 部 允许 转换 的 地 址 范围 和 外 部 允许 使 用 的 地 址 范围 ， 然 
后 对 两 个 范围 映射 。 这 样 具体 外 部 的 一 个 公共 地 址 被 内 部 哪 台 主 机 使 用 不 确定 。 主 要 适用 
于 企业 内 网 大 量 用 户 的 客户 端 访问 外 网 。 

【问题 2】〗】 一 个 公司 会 与 两 个 服务 器 供应 商 连 接 ， 这 样 做 有 利于 提高 内 部 访问 Internet 
的 速度 和 外 网 访问 内 部 服务 器 的 速度 。 由 拓扑 图 可 以 看 出 该 公司 的 出 口 路 由 器 RouterNAT 
将 LAN 和 ISP-A 以 及 ISP-B 连接 ， 在 LAN 中 有 一 台 Web 服务 器 需要 发 布 到 Internet 上 供 
外 网 访问 。Router-NAT 上 S0 的 接口 地 址 是 61.192.93.100/24， 可 用 于 NAT 的 地 址 是 
61.192.93.100 一 61.192.93.102， 对 端 ISP-A 的 地 址 是 61.192.93.200/24。Router-NAT 上 S1 的 
接口 地 址 是 202.102.100.100/24， 可 用 于 NAT 的 地 址 是 202.101.100.100 一 202.102.100.102， 
对 端 ISP-B 的 地 址 是 202.102.100.200。Router-NAT 内 网 口 的 地 址 是 192.168.1.1/24。 

(1) 定义 访问 控制 列表 , 由 于 需要 根据 访问 的 也 地 址 的 不 同 来 选择 进行 转换 的 NAT 地 
所 以 需要 使 用 扩展 访问 控制 列表 ， 控 制 PAT 转换 使 用 的 地 址 池 。 
Route-Switch(config)#access-list 100 permit ip any 61.192.93.0 0.0.0.255 
// 定 义 到 达 ISP-A 所 有 网 段 的 ACL 
Route-Switch(config)#access-list 101(deny)ip any 61.192.93.0 0.0.0.255 
Route-Switch(config)#access-list 101(permit ip any 202.102.100.0 0.0.0.255) 
// 定 义 到 达 ISP-B 所 有 网 段 的 ACL 
Access-list 100 定义 了 到 达 ISP-A 的 所 有 网 段 的 ACL, 此 处 61.192.93.0 代表 ISP-A 所 有 
网 段 。 

(2) 定义 合法 的 地 址 池 。 

Route-Switch(config)#ip nat pool ISP-A(61.192.93.101 61 192.93.102)netmask 255.255. 
255.0 

/定义 访问 ISP-A 的 合法 地 址 池 

Route-Switch(config)#ip nat pool ISP-B(202.102.100.101 202.102.100.102)netmask 255. 
255:2535:0 

// 定 义 访问 ISP-B 的 合法 地 址 池 

(3) 配置 PAT 转换 。 

Route-Switch(config)#ip nat inside source list 100 pool ISP-A overload 


址 


Route-Switch(config)#ip nat inside source(list 101 pool ISP-B overload) 

/为 内 网 用 户 实现 区 分 目标 运营 商 网 络 进行 匹配 的 NAT 转换 

(4) 配置 静态 NAT， 实 现 外 网 访问 内 网 服务 器 。 

Route-Switch(config)#ip nat inside source static tcp_(192.168.1.100 61.192.93.100) 
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extendable 
/为 内 网 Web 服务 器 配置 ISP-A 的 静态 NAT 转换 
Route-Switch(config)#ip nat inside source static tcp (192.168.1.100 202.102.100.100) 
extendable 
/为 内 网 Web 服务 器 配置 ISP-B 的 静态 NAT 转换 
【问题 3】 通过 路 由 选择 原则 ， 将 ISP-A 的 目的 地 址 配置 静态 路 由 并 且 下 一 跳 指向 ISP 
的 路 由 器 ， 再 配置 一 条 默认 路 由 并 且 其 下 一 跳 指 向 ISP-B 的 路 由 器 ， 最 后 再 配置 一 条 管理 
距离 为 120 的 默认 路 由 ， 用 以 备份 。 
【问题 4】QoS(Quality of Service， 服 务 质 量 ) 指 一 个 网 络 能 够 利用 各 种 基础 技术 ， 为 指 
定 的 网 络 通信 提供 更 好 的 服务 能 力 ， 是 网 络 的 一 种 安全 机 制 ， 是 用 来 解决 网 络 延 迟 和 阻塞 
等 问题 的 一 种 技术 。 在 正常 情况 下 ， 如 果 网 络 只 用 于 特定 的 无 时 间 限 制 的 应 用 系统 ， 并 不 
需要 QoS， 比 如 Web 应 用 ， 或 E-mail 设置 等 ， 但 是 对 关键 应 用 和 多 媒体 应 用 就 十 分 必要 。 
当 网 络 过 载 或 拥塞 时 ，QoS 能 确保 重要 业务 量 不 受 延 迟 或 丢 齐 ， 同 时 保证 网 络 的 高 效 运行 。 
通常 QoS 提供 以 下 三 种 服务 模型 : 
S Best-Effort service( 尽 力 而 为 服务 模型 ); 
% ”Integrated service( 综 合 服务 模型 ， 简 称 Int-Serv); 
”Differentiated service( 区 分 服务 模型 ， 简 称 Diff-Serv)。 


3.2.3 同步 练习 


1. 【说 明 】(2017 年 上 半年 下 午 试题 四 ) 

3-9 为 某 学 校 网 络 拓扑 图 ， 运 营 商 分 配 的 公 网 卫 地 址 为 113.201.60.1/29， 运 营 商 网 
关 地 址 为 113.201.60.1， 内 部 用 户 通过 路 由 器 代理 上 网 ， 代 理 地 址 为 113.201.60.2。 核 心 交 
换 机 配置 基于 全 局 的 DHCP 服务 ， 为 办 公 楼 和 宿舍 楼 用 户 提供 DHCP 服务 。 内 部 网 络 划分 
为 3 个 VLAN, 其 中 VLAN10 的 地 址 为 10.0.10.1/24, VLAN20 的 地 址 为 10.0.20.1/24, VLAN30 
的 地 址 为 10.0.30.1/24， 请 结合 图 3-9， 回 答 相关 问题 。 


GE1/0/0 
ISP 接 入 


113.201.60.2/29 ca 路 由 器 


PH 
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【问题 1】( 共 9 分 ) 
路 由 器 的 配置 片段 如 下 ， 根 据 图 3-9， 补 齐 (D)~(6) 空 缺 的 命令 。 


<Huawei>system-view 

[Huawei] sysname (D) 

[Router] interface (2)_ 
[Router-GigabitEthernet1/0/0] ip address (3) 
[Router-GigabitEthernet1/0/0] quit 

[Router] ip route-static 0.0.0.0 0.0.0 (4 
[Router-acl-basic-2000] 

[Router-acl-basic-2000] rule 5 permit source 10.0.0.0 (5) 
[Router-acl-basic-2000] quit 

[Router] interface GigabitEthernet1/0/0 
[Router-GigabitEthernet1/0/0] nat outbound _(6) 
[Router-GigabitEthernet1/0/0] quit 


其 他 配置 略 。 
【问题 2】( 共 6 分 ) 
核心 交换 机 的 配置 片段 如 下 ， 根 据 图 3-9， 补 齐 (7)~(10) 空 缺 的 命令 。 


# 配 置 GE0/0/2 接口 加 入 VLAN20， 并 配置 对 应 VLAN 接口 地 址 
[Switch]vlanbatch20 

[Switch]inlterface GigabitEthernet0/0/2 
[Switch-GigabitEthernet0/0/2]port link-type _() _ 
[Switch-GigabitEthernet0/0/2]port hybrid pvid vlan20 
[Switch-GigabitEthernet0/0/2]port hybrid untagged vlan20 
[Switch-GigabitEthernet0/0/2]quit 

[Switch] interface vlanif 20 

[Switch-Vlanif20] ip address _(8)_ 

[Switch-Vlanif20] quit 


其 他 配置 略 。 


# 配 置 DHCP 服务 ， 租 期 3 天 

[Switch] dhcp (9)_ 

[Switch] ip pool pooll 

[Switch-ip-pool-pool1] network 10.0.20.0 mask 225.225.255.0 
[Switch-ip-pool-pool1] dns-list 10.0.10.2 
[Switch-ip-pool-pooll] gateway-list 10.0.20.1 
[Switch-ip-pool-pool1] lesae day _(10)_ 
[Switch-ip-pool-pooll] quit 

[Switch] interface vlanif 20 
[Switch-Vlanif20] dhcp select global 
[Switch-Vlanif20] quit 


其 他 配置 略 。 

2. 【说 明 】(2016 年 下 半年 下 午 试题 四 ) 

某 公 司 建立 局 域 网 拓扑 图 如 图 3-10 所 示 。 公 司 计划 使 用 路 由 器 作为 DHCP 服务 器 ， 根 
据 需求 ， 公 司 内 部 使 用 C 类 地 址 段 ， 服 务 器 地 址 段 为 192.168.2.0/24，S2 和 S3 分 别 为 公司 
两 个 部 门 的 接 入 交换 机 。 分 别 配置 VLAN 10 和 VLAN 20， 地 址 段 分 别 使 用 192.168.10.0/24 
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和 192.168.20.0/24, 通过 DHCP 服务 器 自动 为 两 个 部 门 分 配 卫 地 址 , 地 址 租约 期 为 12 小 时 。 
其 中 ，192.168.10.1 一 192.168.10.10 作为 保留 地 址 。 


R1 
FO0/0:192.168.1.2/24 


VLAN5S RF0/24:192.168.1.1/24 


3-10 局域网 拓扑 图 


【问题 1】(10 分 ， 每 空 1 分 ) 
下 面 是 R1 的 配置 代码 ， 请 将 下 面 配置 代码 补充 完整 。 


R1#config 七 

Rl (config)#interface FastEthernet0/0 

Rl (config-if)#ip address_ (1) (2) 

R1 (config-if)#no shutdown 

R1 (config-if)#exit 

Rl (config)#ip dhcp_(3) departl 

R1 (dhcp-config)#network 192.168.10.0 255.255.255.0 

R1 (dhcp-config)#default-router 192.168.10.254 255.255.255.0 
Rl (dhcp-config)#dns-server_ (4) 

Rl (dhcp-config)#lease 0 _(9) _0 

R1 (dhcp-config)#exit 

Rl (config)#ip dhcp pool depart2 

Rl (dhcp-config)#network_ (0) (7) 

R1 (dhcp-config)#default-router 192.168.20.254 255.255.255.0 
R1 (dhcp-config)#dns-server 192.168.2.253 

Rl (dhcp-config)#lease 0 12 0 

R1 (dhcp-config)#exit 

R1 (config)#ip dhcp excluded-address 

Rl (config)#ip dhcp ezxcluded-address_ (8) (9) 

R1(config)#ip dhcp excluded-address (10) _// 排 除 掉 不 能 分 配 的 IP 地 址 
Rl (config)#ip dhcp excluded-address 192.168.20.254 


【问题 2】(5 分 ， 每 空 1 分 ) 
下 面 是 $1 的 配置 代码 ， 请 将 下 面 配置 代码 或 解释 补充 完整 。 


S1#config terminal 

S1(config)#interface vlan 5 

Sl (config-if)#ip address 192.168.2.254 255.255.255.0 

Sl (config)#interface vlan 10 

Sl (config-if)#ip helper-address_ (11) // 指 定 DHCP 服务 器 的 地 址 
S1 (config-if)#ezxit 


Sl (config)#interface vlan 20 
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S1(config)#interface f0/24 

S1 (config-if)#switchport mode (12) 
S1(config-if)#switchport trunk (13) vlan all // 允 许 所 有 VLAN 数据 通过 
S1 (config-if)#exit 

Sl (config)#interface f0/21 

Sl (config-if)#switchport mode access 
Sl (config-if)#switchport access vlan 5 
S1 (config-if)#exit 

Sl (config)#interface f0/22 

Sl (config-if)#switchport mode access 
Sl (config-if)#switchport access (14) 
S1 (config)#interface f0/23 

S1 (config-if)#switchport mode access 
Sl(config-if)#switchport access_(15) 


3.2.4 同步 练习 参考 答案 


1. 答案 : 
【问题 1】 
(1) Router (2) GigabitEthernet 1/0/0 (3) 113.201.60.2 255.255.255.248 
(4) 113.201.60.1 ~ (5) 0.0.255.255 (6) 2000 
【问题 2】 
(7) hybrid (8) 10.10.20.1 255.255.255.0 (9) enable (10)3 
解析 : 
【问题 1】 
(1) 重 命名 设备 (2) 进入 端口 子 模式 。” (3) 给 端口 配置 卫 和 掩 码 
(4) 配置 默认 路 由 ， 下 一 跳 指向 ISP 地 址 (5) 配置 反 掩 码 
(6) 把 符合 ACL2000 的 地 址 做 NAT 转换 
【问题 2】 
(7) 除了 Access 类 型 和 Trunk 类 型 外 ， 交 换 机 还 支持 第 三 种 Hybird 类 型 端口 。 这 种 接 


口 可 以 接收 和 发 送 多 个 VLAN 数据 帧 ， 同 时 还 能 指定 对 任何 VLAN 帧 进行 剥离 标签 操作 。 


(8) 配置 接口 P 和 掩 码 

(9) dhep enable: 开启 dhcp 配置 

(10) lease day 3: 配置 租约 期 为 3 天 

2. 答案 : 

【问题 1】 

(1) 192.168.1.2 (2)255.255.255.0 (3)pool (4)192.168.2.253 

(5) 12 (6)192.168.20.0 (7)255.255.255.0 (8) 192.168.10.1 

(9) 192.168.10.10 (10) 192.168.10.254 

【问题 2】 

(11) 192.168.1.2 (12)tronk (13)allowed (14)vlan10 (15)vlan20 
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解析 : 
【问题 1】 
根据 网 络 拓扑 图 可 知 F010 的 他 地 址 为 192.168.1.2， 子 网 掩 码 为 255.255.255.0。 空 (3) 表 示 
设置 dhcp 地 址 池 , 空 (4) 为 设置 DNS 服 务 器 地 址 , 即 192.168.2.253, 空 (5)R1(dhep-config)#lease 
0 12 0 表示 设 定 DHCP 地 址 租约 为 12 小 时 ， 空 (6)、(7) 表 示 部 门 2 使 用 192.168.20.0/24， 设 
置 VLAN20 的 网 络 地 址 Rl(dhcp-config)#network 192.168.20.0 255.255.255.0 ， 其 中 
192.168.10.1 一 192.168.10.10 地 址 保留 不 分 配 ， 所 以 : 
Rl(config)# ipdhep excluded-address 192.168.10.1 192.168.10.10 
Rl(config)# ipdhcp excluded-address 192.168.10.254 // 排 除 掉 不 能 分 配 的 全 地 址 
【问题 2】 
Sl(config-if)# ip helper-address 192.168.1.2 // 指 定 DHCP 服务 器 的 地 址 
该 企业 使 用 路 由 器 作为 DHCP 服务 器 ， 故 所 填 地 址 即 为 路 由 器 的 地 址 。trunk 模式 的 端 
口 用 于 交换 机 与 交换 机 ， 交 换 机 与 路 由 器 ， 大 多 用 于 级 联网 络 设备 。access 多 用 于 接 入 层 ， 
也 叫 接 入 模式 ， 主 要 是 将 端口 静态 接 入 。 默 认 情 况 下 trunk 允许 所 有 的 VLAN 通过 ， 即 
Sl(config-if)# switchport trunk allowed vlan all /允许 所 有 VLAN 数据 通过 。 由 题 意 知 ， 部 
门 1 使 用 的 是 VLAN 10，interface f0/22， 部 门 2 使 用 的 是 VLAN 20，interface f0/23， 所 以 
空 (14) 填 写 vlan 10， 空 (15) 填 写 vlan 20。 


3.3 ”网络 接 入 方式 


3.3.1 考点 辅导 


3.3.1.1 接 入 网 的 定义 

计算 机 通信 网 包含 传输 骨干 网 、 城 域 交换 网 和 社区 接 入 网 三 部 分 。 传 输 骨 干 网 是 连接 
各 个 城 域 网 信息 的 高 速 公路 ， 是 网 络 技术 的 关键 ， 它 提供 远 距离 、 高 带宽 、 大 容量 的 数据 
传输 业务 ， 城 域 交 换 网 将 各 个 单位 、 社 区 的 局 域 网 相连 接 ， 实 现 数据 的 高 速 传输 和 信息 资 
源 共 享 ， 社 区 接 入 网 解决 的 是 从 市 区 到 小 区 ， 直 至 到 每 个 家 庭 用 户 的 终端 接 入 问题 ， 即 最 
后 一 千 米 (Last Kilometer) 的 问题 。 

所 谓 接 入 网 是 指 从 交换 机 到 用 户 终端 之 间 的 所 有 接线 设备 ， 如 图 3-11 所 示 。 


交换 机 交接 箱 | | 分 线 全 用 户 终端 
|. 配 线 系统 “| 引入 线 
接 入 网 


3-11 接 入 网 的 位 置 


其 中 ， 主 干系 统 为 传统 的 电 绕 和 光线 ， 一 般 长 数 千 米 ， 配 线 系统 也 可 能 是 电缆 和 光线 ， 
其 长 度 一 般 为 几 百 米 ， 而 引入 线 通 常 长 几米 到 几 十 米 。 国 际 电信 联盟 远程 通信 标准 化 组 
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(ITU-T) 根 据 近 年 来 电信 网 的 发 展演 变 趋势 ， 提 出 了 接 入 网 的 概念 ， 其 目的 是 综合 考虑 本 地 
交换 机 、 用 户 环 路 和 终端 设备 ， 通 过 有 限 的 标准 接口 ， 将 各 种 用 户 接 入 到 业务 节点 。ITU-T 
规定 ， 接 入 网 是 指 由 业务 节点 接口 SN) 和 相关 用 户 网 络 接口 (UND 之 间 的 一 系列 传送 实体 所 
组 成 ， 是 为 传送 电信 业务 提供 其 所 需 传送 承载 能 力 的 实施 系统 ， 它 可 以 经 由 电信 网 标准 Q3 
接口 进行 配置 和 管理 。 

接 入 网 所 包括 的 范围 可 由 3 个 接口 来 标志 。 在 网 络 侧 Re 点 接口 与 业务 节点 相连 ; 
在 用 户 侧 经 由 用 户 网 络 接口 与 用 户 终 端 相连 ;而 管理 功能 则 通过 Q3 接口 与 电信 管理 网 
(TMN) 相 连 来 实现 。 

其 中 业务 节点 接口 (Service Node Interface，SND 是 提供 业务 的 实体 。 它 是 一 种 可 以 接 入 
各 种 交换 型 、 半 永久 连接 型 电信 业务 的 网 元 。SNI 可 提供 规定 业务 的 业务 节点 ， 有 本 地 交换 
机 、 租 用 线 业 务 节 点 或 特定 配置 下 的 点 播 电视 和 广播 电视 业务 节点 等 。SNI 是 AN 与 SN 之 
间 的 接口 。 


3.3.1.2 ， 接 入 网 的 主要 功能 和 特点 


接 入 网 是 业务 提供 点 与 最 终 用 户 之 间 的 连接 网 络 ， 其 主要 功能 如 下 。 

9 用 户口 功能 (UPF): 将 特定 的 UNI 规定 的 要 求 与 核心 功能 和 管理 功能 相 适 配 。 

4 ”业务 口 功能 (SPF): 将 特定 的 SNI 规定 的 要 求 与 公用 承载 通路 相 适 配 。 

4 ”核心 功能 (CF): 处 于 UPF 和 SPF 之 间 ， 主 要 作用 是 负责 将 个 别 用 户口 承载 通路 或 
业务 口 承载 通路 规定 的 要 求 与 公用 传送 承载 通路 相 适 配 。 其 功能 还 包括 提供 通过 
AN 传送 所 需要 的 协议 适 配 和 处 理 复 用 所 进行 的 协议 承载 通路 。 

4 ”传送 功能 (TF): 为 AN 中 不 同 地 点 之 间 公 用 承载 通路 的 传送 提供 通道 , 也 为 传输 媒 
质 提供 媒质 适 配 功 能 。 

。 ”AN 系统 管理 功能 (SMF): 协调 AN 内 UPF、SPF、CF 和 TF 的 适 配 、 维 护 和 操作 ， 
也 负责 协调 用 户 终端 和 业务 节点 的 操作 功能 。 

作为 业务 提供 点 与 最 终 用 户 之 间 的 接口 网 络 ， 接 入 网 具有 以 下 特点 。 

4 主要 完成 复 用 、 交 叉 连接 和 传输 功能 ， 不 具备 交换 功能 。 


8 提供 开放 的 V5 标准 接口 ， 可 实现 与 任何 种 类 的 交换 设备 进行 连接 。 

4 ”光纤 化 程度 高 。 

4 ”能 提供 各 种 综合 业务 。 

4 ”对 环境 的 适应 能 力 强 。 

4 组 网 能 力 强 。 

% ， 可 采用 HDSL、ADSL、 有 源 或 无 源 光 网 络 、HFC 和 无 线 网 等 多 种 接 入 技术 。 

4 接 入 网 可 独立 于 交换 机 进行 升级 ， 灵 活性 高 ， 有 利于 引入 新 业务 和 向 宽带 网 过 渡 。 

4 接 入 网 提供 了 功能 较为 全 面 的 网 管 系统 ， 实 现 了 对 接 入 网 内 所 有 设备 的 集中 维护 
以 及 环境 监控 、112 测试 等 ， 并 可 通过 相应 的 协议 接 入 本 地 网 网 管 中 心 ,给 网 管 带 
来 方便 。 

3.3.1.3” 接 入 网 的 分 类 

通常 可 以 将 接 入 网 分 为 以 下 几 大 类 。 


1. 基于 普通 电话 线 的 xDSL 接 入 
xDSL 可 分 为 IDSL、HDSL、SDSL、VDSL 和 ADSL， 它 们 均 采 用 点 到 点 的 拓扑 结构 。 
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2. 同 轴 电 绕 上 的 HFC/SDV 接 入 系统 

HFC/SDV 都 是 基于 混合 光纤 同 轴 电 缆 上 的 接 入 系统 ，HFC 是 双向 接 入 传输 系统 ，SDV 
是 可 交换 的 数字 视频 接 入 系统 ， 它 在 同 轴 电 缆 上 只 传 下 行 信号 。HEFC/SDYV 的 拓扑 结构 可 以 
是 树 型 或 总 线 型 ， 下 行 方向 通常 为 广播 方式 。HFC/SDV 在 下 行 方向 上 可 以 混合 传送 模拟 和 
数字 信号 。 

3. 光纤 接 入 系统 

光纤 接 入 系统 可 分 为 有 源 系统 和 无 源 系统 。 有 源 系统 有 基于 准 同步 数字 系列 的 ， 也 有 
基于 同步 数字 系列 的 ， 它 的 拓扑 结构 可 以 是 环 型 、 总 线 型 、 星 型 或 它们 的 混合 型 ， 也 有 点 
到 点 的 应 用 。 无 源 系统 有 窄带 和 宽带 之 分 。 

4. 无 线 接 入 系统 

无 线 接 入 的 主要 工作 方式 是 一 点 到 多 点 ， 上 行 解决 多 用 户 争 用 的 技术 有 FDMA、 
TDMA、CDMA， 从 频谱 效率 来 看 CDMA 最 好 ，TDMA 次 之 。 

3.3.1.4 ” 接 入 网 的 主要 业务 

对 于 小 企 事业 用 户 和 居民 用 户 ， 近 期 的 主要 宽带 业务 需求 主要 有 下 面 5 类 。 

4 ， 点播 电 视 VOD(Video On Demand) 或 NVOD(Near Video On Demand)， 又 称 影视 点 
播 业务 或 准 影视 点 播 业 务 ， 尤 其 是 点 播 电影 节目 。 
交互 式 图 像 游 戏 。 
交互 式 图 像 业务 。 
远程 教育 。 
多 媒体 库 。 


S 9 多 


3.3.2 ”典型 例题 分 析 


【说 明 】 某 省 运营 商 的 社区 宽带 接 入 网 络 结构 如 图 3-12 所 示 。 


AAA 
(授权 、 认 证 、 记 账 ) 
BRAS( 宽 带 接 入 服务 器 ) 
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【问题 1】(7 分 ) 

高 速 数据 主干 网 的 一 个 建设 重点 是 解决 “最 后 一 公里 ”的 问题 ， 即 宽带 接 入 问题 。 
图 3-11 所 示 的 四 个 社区 采用 的 小 区 宽带 接 入 方法 分 别 是 : 社区 1L_(D ， 社区 2_(C) ， 
社区 3_(3) ， 社区 4 (4) 。 除了 这 几 种 宽带 接 入 方法 以 外 , 采用 有 线 电视 网 进行 宽带 
入 的 方法 是 _(5) ， 利用 电力 网 进行 宽带 接 入 的 方法 是 _(6) _， IEEE 802.16 标准 进行 宽带 


眶 


接 入 的 方法 是 _(7) _。 
空 (0D) 一 (7) 备 选 答案 ; 
A.FTTx+PON  B.HFC C.FTTx+LAN D. WLAN 
E. WiMAX F. xDSL G. PLC(Power-Line Communication) H.GPRS 


【问题 2】(3 分 ) 

在 宽带 接 入 中 ,FTTx 是 速度 最 快 的 一 种 有 线 接 入 方式 ,而 PON(Passive Optical Network) 
技术 是 未 来 FTTx 的 主要 解决 方案 。PON 目前 有 两 种 主要 的 技术 分 支 ， 分 别 是 GPON 和 
EPON，EPON 是 _(8) 技术 和 (9) 技术 的 结合 ， 它 可 以 实现 上 下 行 _0Q10) 的 速率 。 

【问题 3】(6 分 ) 

宽带 接 入 通常 采用 PPPoE 进行 认证 。 PPP 协议 一 般 包括 三 个 协商 阶段 ，_(LD_ 协议 用 
于 建立 和 测试 数据 链 路 ，__Q2) 协议 用 于 协商 网 络 层 参数 ，_(13) 协议 用 于 通信 双方 确 
认 对 方 的 身份 。 

【问题 4】(4 分 ) 

在 运营 商 网 络 中 ， 一 般 会 有 多 个 用 户 和 不 同 的 流 需要 融合 。 运 营 商 常用 外 层 VLAN 区 
分 不 同 的 _04) ， 在 ONU 或 家 庭 网 关 处 采用 内 层 VLAN 来 区 分 不 同 的 _(15) _; 这 种 处 
理 方式 要 求 运营 商 网 络 和 用 户 局 域 网 中 的 交换 机 都 支持 _(16) “协议 ， 同 时 通过 802.1ad( 运 
营 商 网 桥 协 议 ) 来 实现 灵活 的 QinQ 技术 。 

答案 : 

【 门 题 1] (DF QC QA (WD (SB (0G DE 

【问题 2】(8) 以 太 网 (9) PON( 或 无 源 光 网 络 ) (10) 1.25Gbps 

【问题 3】(11) LCP ”(12) NCP ”(13) 认证 (CHAP/PAP) 

【问题 4】(14) 业务 ” (15) 用 户 。”(16) 802.1q 

解析 : 

【问题 1 】 高 速 数 据 主干 网 的 一 个 建设 重点 是 解决 “最 后 一 公里 ”的 问题 ， 即 宽带 接 入 
问题 。 图 3-11 所 示 的 四 个 社区 采用 的 小 区 宽带 接 入 方法 分 别 是 : 社区 1 有 分 离 器 ， 采 用 的 
是 XDSL。FTTxHLAN 技术 是 一 种 利用 光纤 加 超 五 类 网 络 线 方式 实现 宽带 接 入 方案 ， 实 现 
千 兆 光纤 到 小 区 (大 楼 ) 中 心 交换 机 ， 中 gt ee ai 
连 ， 楼 道内 采用 综合 布线 ， 用 户 上 网 速率 可 达 10Mbps， 网 络 可 扩展 性 强 ， 投 资 规模 小 。 

区 2 是 光纤 接 入 ， 是 FTTx+LAN。 社 区 3 FTTx+PON，PON 是 指 光 分 配 网 (ODN) 不 含有 网 
何 电子 器 件 及 电子 电源 的 网 络 , 其 ODN 全 部 由 光 分 路 器 和 光缆 等 无 源 器 件 组 成 。 社 区 4 采 
用 WLAN。 除了 这 几 种 宽带 接 入 方法 以 外 ， 采 用 有 线 电视 网 进行 宽带 接 入 的 方法 是 HFC， 

利用 电力 网 进行 宽带 接 入 的 方法 是 PLC(Power-Line Communication)，IEEE 802.16 标准 进行 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


宽带 接 入 的 方法 是 WiMAX。 全 球 互通 微波 存 取 (Worldwide Interoperability for Microwave 
Access，WiMAX) 是 一 项 高 速 无 线 数据 网 络 标准 ,主要 用 在 蜂窝 网 络 ， 由 WiMAX 论坛 提出 
并 于 2001 年 6 月 成 形 。 它 可 提供 最 后 一 英里 无 线 宽 带 接 入 ， 作 为 电缆 和 DSL 之 外 的 选择 。 
在 IEEE 802.16 标准 的 多 个 版 本 和 选项 中 做 出 唯一 的 选择 。 

【问题 2】 EPON 好 Ethernet Passive Optical Network， 以 太 网 无 源 光 网 络 。IEEE 802.3 
定义 了 以 太 网 的 两 种 基本 操作 模式 。 第 一 种 模式 采用 载波 侦 听 多 址 访问 /冲突 检测 
(CSMA/CD) 协 议 而 应 用 在 共享 媒质 上 ; 第 二 种 模式 为 各 个 站 点 采用 全 双 工 的 点 到 点 的 链 路 
通过 交换 机 连接 到 一 起 。EPON 目前 可 以 提供 上 下 行 对 称 的 1.25Gb/s 的 带宽 ， 并 且 随 着 以 
太 技术 的 发 展 可 以 升级 到 10Gb/s。 

【问题 3】 宽带 接 入 通常 采用 PPPoE 进行 认证 。PPP 协议 一 般 包 括 三 个 协商 阶段 ，LCP 
协议 用 于 建立 和 测试 数据 链 路 ; NCP 协议 用 于 协商 网 络 层 参数 ; CHAP 协议 用 于 通信 双方 
确认 对 方 的 身份 。 

【问题 4】 在 运营 商 网 络 中 ， 一 般 会 有 多 个 用 户 和 不 同 的 流 需要 融合 。 运 营 商 常用 外 层 
VLAN 区 分 不 同 的 用 户 ， 在 ONU 或 家 庭 网 关 处 采用 内 层 VLAN 来 区 分 不 同 的 业务 流 。 这 
种 处 理 方式 要 求 运 营 商 网 络 和 用 户 局 域 网 中 的 交换 机 都 支持 802.1q 协议 ， 同 时 通过 
802.1ad( 运 营 商 网 桥 协议 ) 来 实现 灵活 的 QinQ 技术 。 


3.3.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 5， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 小 区 采用 HFC 接 入 Internet 的 解决 方案 进行 网 络 设计 ， 网 络 结构 如 图 3-13 


所 示 。 

人 CATV 前 渭 中 心 
| "电视 用 六 ; 
' 成 ， 当 | 
! CATV, y 8)! 1 
G) a eh (6) | 旺 ， 
诡 | |! 放大 器 pl PC， 
因 | ' 是 : 

mu 一 全 -| (2) 1 ， 电话 
,路 由 器 务 器 ， 


3-13 ”网 络 结构 图 


【问题 1】(3 分 ) 

网 络 设计 流程 通常 由 以 下 5 个 阶段 组 成 。 

A. 确定 网 络 物理 结构 

B. 确定 网 络 逻辑 结构 

C. 对 现 有 网 络 的 体系 结构 进行 分 析 

D. 安装 和 维护 

E. 需求 分 析 

根据 网 络 开发 设计 的 过 程 ， 给 出 上 述 5 个 阶段 的 先后 排序 ，_ 0) _。 
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【问题 2】(S 分 ) 
为 图 3-13 中 (2)~(6) 处 选择 对 应 的 设备 名 称 ， 填 入 答题 纸 对 应 的 解答 栏 内 。 

备 选 设备 : CMTS、 以 太 网 交换 机 、 光 收发 器 、 光 电 转 换 节 点 、Cable Modem。 

【问题 3】(2 分 ) 
在 答题 纸 对 应 的 解答 栏 内 填写 图 3-13 中 (7)、(8) 处 对 应 的 传输 介质 。 
【问题 4】(3 分 ) 

Cable Modem 接收 从 CMTS 发 送 来 的 _(9) 调制 信号 ， 经 解 调 后 重建 以 太 帧 。 在 相反 方 
向 上 ， 接 收 到 的 以 太 帧 被 封装 在 时 隙 中 ， 经 (10) 调制 后 ， 通 过 HFC 网 络 的 上 行 信道 传送 
给 CMTS。 

(9)、(10) 备 选 答案 ; 

A.QAM B.QPSK C.GMSK D.DMT 
【问题 5】(2 分 ) 

有 线 电视 HFC 网 络 的 上 、 下 行 信道 是 非 对 称 的 ， 容 易 产 生 噪 声 、 影 响 传输 质量 的 是 上 

行 信道 还 是 下 行 信道 ? 


3.3.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(1) E>C—>B-A—D 

【问题 2】 

(2) 以 太 网 交换 机 (3) CMTS (4) 光 收 发 器 
(5) 光电 转换 节点 (6) Cable Modem 
【问题 3】 

(7) 光缆 (8) 同 轴 电缆 
【问题 4】 

(9) A (10) B 

【问题 5】 

上 行 信道 


3.4 本 章 小 结 


本 章 知 识 点 在 2014 年 的 新 大 纲 中 变化 较 小 ， 只 是 一 些 表述 方式 的 调整 。 

本 章 主要 要 求 考生 掌握 IP 地 址 的 规划 、 路 由 器 的 基本 配置 以 及 路 由 协议 的 相关 配置 ， 
还 有 常见 的 网 络 接 入 技术 。 

本 章 内 容 为 下 午 科 目的 重点 内 容 ， 尤 其 是 路 由 器 的 配置 ， 基 本 为 每 次 考试 的 必 考 内 容 ， 
而 且 所 占 比 重 很 大 。 
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大 纲要 求 : 


9 IP 地 址 ， 包 括 IPv4、IPv6、 动 态 分 配 和 静 态 分 配 、DHCP 服务 器 的 原理 和 配 
置 (Windows)。 

多 。 网 络 系统 管理 ,包括 网 络 管理 命令 、Windows 系统 、Windows 活动 目录 、Windows 

终端 服务 与 远程 管理 。 

DNS， 包 括 URL、 域 名 解析 、DNS 服务 器 的 配置 (Windows)。 

电子 邮件 服务 器 配置 (Windows)。 

WWW,， 包括 虚拟 主机 、WWW 服务 器 配置 (Windows)、WWW 服务 器 的 安全 配置 。 

代理 服务 器 的 配置 (Windows)。 

FTP 服务 器 ， 包 括 FTP 服务 器 的 访问 、FTP 服务 器 的 配置 (Windows)。 


ee 9 多 


4.1 IIS 服务 器 的 配置 


4.1.1 考点 辅导 


4.1.1.1 安装 1IS 7.5 


IIS 中 集成 了 多 种 服务 ， 除 了 可 提供 Web 服务 外 ， 还 提供 用 于 文件 传输 的 FTP( 文 件 传 
输 协 议 ) 服 务 、 用 于 邮件 服务 的 SMTP( 简 单 邮件 传输 协议 ) 服 务 和 用 于 新 闻 组 的 NNTP( 网 络 
新 闻 传 输 协议 ) 服 务 。Windows Server 2008 R2 中 集成 了 最 新 的 IIS 7.5，IIS 7.5 包含 了 Web 
服务 器 和 FTP 服务 器 。 

下 面 介绍 IIS 7.5 的 安装 方法 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 。 打 开 “ 服 务 器 管理 器 ” 
窗口 后 ， 选 择 左 侧 的 “角色 ”节点 ， 在 右 窗 格 的 “角色 摘要 ”部 分 中 单 击 “ 添 加 角色 ” 超 
链接 ， 启 动 添加 角色 向 导 。 

(2) 在 “开始 之 前 ”向 导 页 中 提示 此 向 导 可 以 完成 的 工作 ， 以 及 操作 之 前 应 注意 的 相 
关 事 项 ， 然 后 单 击 “ 下 一 步 ”按钮 。 

(3) 在 “选择 服务 器 角色 ”向 导 页 中 显示 所 有 可 以 安装 的 服务 器 角色 ， 如 果 角 色 前 面 
的 复 选 框 没有 选中 ， 表 示 该 网 络 服务 尚未 安装 ， 如 果 已 选中 ， 说 明 该 服务 已 经 安装 。 这 里 
选中 “Web 服务 器 GTIS)” 复 选 框 ， 如 图 4-1 所 示 。 

(4) 系统 提示 在 安装 Web 服务 器 (IS) 角 色 时 ， 必 须要 安装 Windows 进程 激活 服务 功 
能 ， 否 则 无 法 安装 Web 服务 器 IS) 角色， 单 击 “ 添 加 必需 的 功能 ”按钮 ， 如 图 4-2 所 示 。 
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图 4-1 选择 服务 器 角色 图 4-2 系统 提示 
(5) 返回 “选择 服务 器 角色 ”向 导 页 后 ，“Web 服务 器 (IS)” 复 选 框 被 勾 选 ， 单 击 “ 下 


一 步 ”按钮 。 

(6) 在 “Web 服务 器 (IIS) 简 介 ” 向 导 页 中 显示 Web 服务 器 的 功能 ， 注 意 事项 和 其 他 信 
息 ， 单 击 “ 下 一 步 ” 按 钮 。 

(7) 在 “选择 角色 服务 ”向 导 页 中 默认 只 选择 安装 Web 服务 所 必需 的 组 件 ， 用 户 可 根 
据 实际 需要 选择 安装 的 组 件 。 例如，Web 服务 器 需要 使 用 APS.NET 或 ASP， 则 需要 选中 相 
应 的 复 选 框 。 选 择 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 4-3 所 示 。 

(8) 在 “确认 安装 选择 ”向 导 页 中 显示 前 面 所 进行 的 设置 ， 如 果 选 择 错误 ， 用 户 可 以 
单 击 “ 上 一 步 ”按钮 返回 。 确 认 无 误 后 ， 用 户 可 以 单 击 “ 安 装 ” 按 钮 开始 安装 Web 服务 器 
角色 ， 如 图 4-4 所 示 。 


PP 
4-3 选择 角色 服务 图 4-4 确认 安装 选择 


(9) 在 “安装 进度 ”向 导 页 中 显示 服务 器 角色 的 安装 过 程 。 

(10) 在 “安装 结果 ”向 导 页 中 显示 Web 服务 器 GIS) 角 色 已 经 安装 ， 并 列 出 了 已 安装 的 
角色 服务 。 单 击 “ 完 成 ”按钮 ， 关 闭 “ 添 加 角色 向 导 ” 向 导 页 ， 即 可 完成 Web 服务 器 (IS) 
角色 的 安装 。 

(11) 基于 IIS 的 Web 服务 器 安装 成 功 后, 用 户 可 以 通过 “Intemet 信息 服务 (IIS) 管 理 器 ” 
窗口 来 管理 Web 站 点 。 打 开 “Internet 信息 服务 (TS) 管 理 器 ”窗口 的 方法 是 选择 “开始 ”一 
“管理 工具 ”一 “Internet 服务 管理 器 ”命令 。 图 4-5 所 示 的 是 “Internet 信息 服务 (IS) 管 理 
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器 ”窗口 ， 从 图 中 可 以 看 出 ， 在 安装 IIS 时 已 创建 一 个 名 为 Default Web Site 的 Web 网 站 。 


EECSEEE = 
【SEE I 


] ES 
月 JE 于, 本 而 “所 月 TS 新 闻 ” 鲁 革 以 加 二 3 和 机 天 辣 ， 


4-5 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


(12) 在 局 域 网 中 的 另 一 台 计 算 机 上 打开 浏览 器 ， 在 地 址 栏 中 输入 “http://< 服 务 器 他 或 
域名 >/”， 若 能 看 到 如 图 4-6 所 示 的 界面 ， 则 说 明 Web 服务 器 安装 成 功 。 


4-6 访问 Default Web Site 


4.1.1.2 配置 Web 服务 器 


JIS 7.5 的 Web 服务 组 件 安装 成 功 后 , 就 可 以 在 这 台 服 务 器 上 创建 Web 站 点 了 。 默 认 情 
况 下 ， 在 安装 的 过 程 中 ， 系 统 会 自动 创建 一 个 默认 的 Web 站 点 。 用 户 可 以 通过 修改 默认 站 
点 的 属性 发 布 自己 的 Web 网 站 ， 也 可 以 重新 建立 一 个 Web 站 点 。 

1. 网 站 的 基本 配置 


通过 “开始 ”一 “管理 工具 ”一 “Internet 服务 管理 器 ”命令 ， 打 开 “Intemet 信息 服 
务 (IIS) 管 理 器 ”窗口 。 在 管理 器 的 左 侧 窗 格 中 单 击 “网 站 ”节点 前 的 “+” 号 ， 然 后 选中 某 
个 希望 配置 的 网 站 ， 右 键 单 击 该 网 站 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 网 站 
属性 对 话 框 。 

在 “网 站 ”选项 卡 中 可 以 设置 网 站 的 标识 ， 包 括 网 站 描述 、 王 地 址 和 端口 号 ， 还 可 以 
设置 连接 超时 、 启 用 日 志 记录 等 ， 从 网 站 日 志 记录 中 可 以 查看 哪些 用 户 访问 了 网 站 中 的 哪 
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些 内 容 ， 如 图 4-7 所 示 。 
在 “ 主 目录 ”选项 卡 中 指定 网 站 Web 内 容 的 来 源 ， 如 图 4-8 所 示 。 
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图 4-7 “网 站 ”选项 卡 图 4-8 “ 主 目录 ”选项 卡 


2. 网 站 的 安全 性 配置 

为 了 保证 Web 网 站 和 服务 器 的 安全 ， 可 以 在 “目录 安全 性 ”选项 卡 上 为 网 站 进行 身份 
验证 和 访问 控制 、 耳 地 址 和 域名 限制 的 设置 ， 如 图 4-9 所 示 。 在 “身份 验证 和 访问 控制 ” 
选项 组 中 单 击 “编辑 ”按钮 ， 打 开 如 图 4-10 所 示 的 “身份 验证 方法 ”对 话 框 。 使 用 该 对 话 
框 可 以 配置 Web 服务 器 以 验证 用 户 身 份 。 可 以 验证 单个 用 户 或 选择 用 户 组 来 阻止 未 授权 用 
户 与 受 限制 内 容 建立 Web(HTTP) 连 接 。 
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图 4-9 “目录 安全 性 ”选项 卡 图 4-10 “身份 验证 方法 ”对 话 框 


选中 “启用 匿名 访问 ” 复 选 框 可 以 为 用 户 建立 匿名 连接 ， 此 时 用 户 无 须 专用 的 账户 ， 
而 是 使 用 匿名 或 来 宾 账户 (Guesb 登 录 到 IS。 默 认 情况 下 ， 服 务 器 创建 和 使 用 账户 IUSR_ 
计算 机 名 ， 对 应 于 本 书 所 举 的 例子 ， 用 户 名 为 IUSR_WIN2008_R2。 

如 果 用 户 希 望 对 网 站 的 访问 者 验证 身份 ， 也 可 以 在 “身份 验证 方法 ”对 话 框 中 的 “用 
户 访问 需 经 过 身份 验证 ”选项 组 中 进行 设置 。 在 此 部 分 中 选中 的 选项 要 求 用 户 在 访问 服务 
器 上 的 任何 信息 前 , 提供 有 效 的 Microsoft Windows 用 户 名 和 密码 。 当 前 IIS 7.5 中 提供 了 以 
下 3 种 身份 验证 方法 。 
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@ 基本 身份 验证 。 用 户 使 用 基本 身份 验证 访问 Web 站 点 时 ， 系 统 会 模仿 为 一 个 本 地 
用 户 ( 即 能 实际 登录 到 Web 服务 器 的 用 户 ) 登 录 到 Web 服务 器 ,因此 用 于 基本 验证 的 Windows 
用 户 必 须 具 有 “本 地 登录 ”用 户 权限 。 它 是 一 种 工业 标准 的 验证 方法 ， 大 多 数 浏览 器 支持 
这 种 验证 方法 。 在 使 用 基本 身份 验证 方法 时 ， 用 户 密码 是 以 未 加 密 形式 在 网 络 上 传输 的 ， 
很 容易 被 蓄意 破坏 系统 安全 的 人 在 身份 验证 过 程 中 使 用 协议 分 析 程 序 破译 用 户 和 密码 ， 因 
此 这 种 验证 方式 是 不 安全 的 。 

@ ”摘要 式 身份 验证 。 摘 要 式 身份 验证 也 要 求 用 户 输入 账号 名 称 和 密码 ， 但 账号 名 称 
和 密码 都 经 过 MD5 算法 处 理 ， 然 后 将 处 理 后 产生 的 散 列 随机 数 (hash) 传 送 给 Web 服务 器 。 
采用 这 种 方法 时 ，Web 服务 器 必须 是 Windows 域 的 成 员 服 务 器 。 

加 Windows 身份 验证 。 集 成 Windows 验证 是 一 种 安全 的 验证 形式 ， 它 也 需要 用 户 输 
入 用 户 账户 和 密码 ， 但 账户 名 和 密码 在 通过 网 络 发 送 前 会 经 过 散 列 处 理 ， 因 此 可 以 确保 其 
安全 性 。 Windows 身份 验证 方法 有 两 种 , 分 别 是 Kerberos v5 验证 和 NTLM, 如 果 在 Windows 
域 控制 器 上 安装 了 Active Directory 服务 ， 并 且 用 户 的 浏览 器 支持 Kerberos v5 验证 协议 ， 则 
使 用 Kerberos v5 验证 ， 和 否则 使 用 NTLM 验证 。 

Windows 身份 验证 优先 于 基本 身份 验证 ， 但 它 并 不 先 提示 用 户 输入 用 户 名 和 密码 ， 只 
有 Windows 身份 验证 失败 后 ， 浏 览 器 才 提示 用 户 输入 用 户 名 和 密码 。 虽 然 Windows 身份 验 
证 非常 安全 ， 但 是 在 通过 HTTP 代理 连接 时 ，Windows 身份 验证 不 起 作用 ， 无 法 在 代理 服 
务 器 或 其 他 防火 墙 应 用 程序 后 使 用 。 因 此 ，Windows 身份 验证 最 适合 企业 Intranet 环境 。 

用 户 可 以 基于 人 P 地 址 或 域名 来 允许 或 拒绝 特定 用 户 、 计 算 机 、 计 算 机 组 或 域 访 问 该 网 
站 、 目 录 或 文件 。 在 图 4-9 所 示 的 “IP 地 址 和 域名 限制 ”选项 组 中 单 击 “ 编 辑 ” 按 钮 ， 打 
开 如 图 4-11 所 示 的 “IP 地 址 和 域名 限制 ”对 话 框 。 默 认 情 况 下 ， 所 有 的 计算 机 都 被 允许 访 
问 该 网 站 。 选 中 “授权 访问 ” 单 选 按钮 ， 可 以 授权 所 有 的 计算 机 访问 该 网 站 ， 但 在 “下 列 
除外 ”列表 框 中 指定 的 计算 机 除外 。 要 添加 拒绝 访问 的 计算 机 、 计 算 机 组 或 域 ， 需 单 击 “ 添 
加 ”按钮 ， 打 开 如 图 4-12 所 示 的 “拒绝 访问 ”对 话 框 ， 在 其 中 输入 希望 拒绝 计算 机 的 相应 信 
息 。 输 入 后 ， 单 击 “ 确 定 ”按钮 ， 被 拒绝 访问 的 计算 机 将 出 现在 图 4-11 所 示 的 “下 列 除外 ” 
列表 框 中 。 

划 


卫 地 址 访问 限制 
默认 情况 下 ， 所 有 计算 机 都 插 补 :as7 弛 机 芒 柯 古 j} 
图 个 拒 把 访问 中 


下 到 除外: 
访问 芋 地 址 仓 隐 I 午 码 ) 
添加 0). 
Ed 
Ea 


Cw |] ww | wow | 


图 4-11 “IP 地 址 和 域名 限制 ”对 话 框 图 4-12 “拒绝 访问 ”对 话 框 


4.1.1.3 配置 FTP 服务 器 

Windows Server 2008 R2 中 的 IIS 里 内 置 FTP 服务 模块 , 安装 比较 简单 。 在 FTP 服务 安 
装 过 程 中 ， 安 装 程序 会 自动 创建 一 个 “默认 FTP 站 点 ”， 可 以 直接 修改 该 站 点 的 属性 来 满 
足 应 用 需求 。 为 了 更 好 地 管理 FTP 服务器， 需要 对 它 进 行 适当 的 配置 。 
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在 Intemet 信息 服务 控制 台 下 ， 右 击 “ 默 认 FTP” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 弹 出 “默认 FTP 站 点 属性 ”对 话 框 ， 如 图 4-13 所 示 。 对 于 “FTP 站 点 ”“ 安 全 
账户 ”“ 主 目录 ”和 “目录 安全 性 ”的 设置 基本 上 与 Web 站 点 相似 ， 这 里 就 不 再 熬 述 了 。 
下 面 着 重 介绍 “消息 ”选项 卡 中 的 相关 设置 ， 打 开 “ 消 息 ”选项 卡 ， 如 图 4-14 所 示 。 


EE EE 
Te 站 吉安 4 帐 P| 撞 昌 | 主 录 | 双人 从 | Tre 站 点 | 实 2 帐 忆 滑 生 | 主 引 录 | 有 录 实 全 攻 | 
i 一 

E40 Fe 有 是 人 @) 
人 RNF 
rity i 了 
mmm 
NE ED: 
CD sh 
6 二 雪 坊 四 : Er | RD 二 不 RNF369 地 
re 
EL 可 
了 于 量 环 目 一 一 ge 
二 HF, RE HR 
NrFRPEvARR 本 
加 司 位 田 
i HT, FE 
Ce Ww | mw)| Ww | Ce Ww | mw | Ww | 
、 :出 自 ” ， 
4-13 “默认 FTP 站 点 属性 ”对 话 框 图 4-14 “消息 ”选项 卡 


FTP 站 点 消息 的 相关 设置 如 表 4-1 所 示 。 
表 4-1 FTP 消息 设置 


配置 项 说 明 
标题 FTP 的 站 点 名 称 ， 用 户 在 登录 FTP 时 显示 的 信息 
欢迎 用 户 登录 FTP 时 显示 的 信息 
退出 当 用 户 退 出 FTP 时 显示 的 信息 
最 大 连接 数 当 FTP 服务 器 超过 最 大 连接 人 数 时 ， 给 提出 连接 请 求 的 客户 机 发 送 一 条 错误 信息 


由 于 服务 器 配置 、 性 能 等 的 差别 ， 有 些 服务 器 不 能 满足 大 访问 量 的 需要 ， 往 住 造成 超 
时 甚至 死机 ， 因 此 需要 设置 连接 限制 。 在 图 4-13 所 示 的 “FTP 站 点 连接 ”选项 组 中 ， 有 3 
个 选项 可 供 选择 。 

《不 受 限制 :该 选项 允许 同时 发 生 的 连接 数 将 不 受 任何 限制 。 

”连接 限制 为 ， 该 选项 限制 允许 同时 发 生 的 连接 数 为 菜 一 特定 值 ， 这 一 特定 值 由 用 
户 在 文本 框 中 输入 。 
4 ”连接 超时 : 当 某 条 FTP 连接 在 一 段 时 间 内 没有 反应 时 ， 服 务 器 就 自动 断 开 该 连接 。 


4.1.2 ”典型 例题 分 析 


例 1 阅读 以 下 说 明 , 回答 问题 1 至 问题 4, 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2016 
年 下 半年 下 午 试题 三 ) 
【说 明 】 
某 公司 的 IDC( 互 联网 数据 中 心 ) 服 务 器 Serverl 采用 Windows Server 2003 操作 系统 ， 卫 
地 址 为 172.16.145.128/24， 为 客户 提供 Web 服务 和 DNS 服务 ; 配置 了 三 个 网 站 ,域名 分 别 
为 www.companyl.com、 www.company?2.com 和 www.company3.com, 其 中 companyl 使 用 默 
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认 端 口 。 基 于 安全 的 考虑 ,不 允许 用 户 上 传 文件 和 浏览 目录 。companyl.com、company2.com 
和 Company3.com 对 应 的 网 站 目录 分 别 为 Companyl-web、Company2-web 和 Company3-web， 
如 图 4-15 所 示 。 


图 4-15 网 站 目录 


【问题 1】(2 分 ， 每 空 1 分 ) 
为 安装 Web 服务 和 DNS 服务 ，Serverl 必须 安装 的 组 件 有 _ (1) 、_ (2) 。 


(一 (2) 备 选 答案 : 
A. 网 络 服务 B. 应 用 程序 服务 器 C. 索引 服务 
D. 证 书 服 务 E. 远程 终端 


【问题 2】(4 分 ， 每 空 2 分 ) 
在 IS 中 创建 这 三 个 网 站 时 , 在 图 4-16 中 多 选读 取 、_(3)_ 和 执行 , 并 在 图 4-17 的 “ 文 
档 ” 选 项 卡 中 添加 _(4) 为 默认 文档 。 
me | me | nn 
后 用 陵 认 内 容 文 区 加 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
> 旋 全 3 mw | 
: 于 
E22 | TE | 


和 个 re 6JUNBtE4 Th 服务 基 近 园 的 和 一 个 广 


me | mw | Baw | ww | 
图 4-16 网 站 创建 向 导 图 4-17 “文档 ”选项 卡 


【问题 3】(6 分 ， 每 空 1 分 ) 
1. 为 了 节省 成 本 ， 公 司 决定 在 一 台 计算 机 上 为 多 类 用 户 提供 服务 。 使 用 不 同 端口 号 来 
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区 分 不 同 网 站 ，companyl 使 用 默认 端口 _(3) _，company2 和 company3 的 端口 应 在 1025 
至 _(6) 范围 内 任意 选择 ,在 访问 company2 或 者 company3 时 需 在 域名 后 添加 对 应 端口 号 ， 
使 用 _(7) 符号 连接 。 设 置 完成 后 ， 管 理 员 对 网 站 进行 了 测试 ， 测 试 结果 如 图 4-18 所 示 ， 


原因 是 _(8) 。 
co 
om Fnems DO eR Bmxre O yoms Mt+ 
| Hello world! Here is the Comparyl website 
I 
My co0Ooo pee 
ea ] FW 省 殉国 网 守 大 全 〇 340 村 实 的 革 扩 
Hello world! Here is the Companyl website 
图 4-18 测试 结果 
(8) 备 选 答案 : 


A. IP 地 址 对 应 错误 B. 未 指明 companyl 的 端口 
C. 未 指明 company2 的 端口 D. 主机 头 设置 错误 
2. 为 便于 用 户 访问 ， 管 理 员 决定 采用 不 同 主机 头 值 的 方法 为 用 户 提供 服务 ， 需 在 DNS 
服务 中 正 向 查找 区 域 为 三 个 网 站 域名 分 别 添加 _(9) 记录。 网 站 company2 的 主机 头 值 应 设 
置 为 (10) 。 
【问题 4】(8 分 ， 每 空 2 分 ) 
如 果 随 着 company1 网 站 访问 量 的 不 断 增加 ， 公 司 为 company1 设立 了 多 台 服 务 器 。 下 
面 是 不 同 用 户 ping 网 站 www. companyl.com 后 返回 的 他 地 址 及 响应 状况 , 如 图 4-19 所 示 。 


Microsoft Windows [版 本 10.0.10586] 
(0) 版 权 所 有 2015 Microsoft Corporation. 


Microsoft Windows [版 本 5.2.3790] 
(0) 版 权 所 有 1985-2003 Microsoft Corp. 


CAUsers>ping www.companyl.com 
Pinging companyl.wscache.ourglb0.com [172.16.145.192] with 32 bytes of data: 


Ci\Users>ping www.companylcom 
Pinging companyl.wscache.ourglbO.com [172.16.145.193] with 32 bytes of data: 


Reply from 172.16.145.192:bytes=32 time=11ms TTL=57 
Reply from 172.16.145.192:bytes=32 time=llms TTL=57 


Reply from 172.16.145.193:bytes=32 time=11ms TTL=57 
Reply from 172.16.145.193:bytes=32 time=11ms TTL=57 


Reply from 172.16.145.192:bytes=32 time=11ms TTL=57 
Reply from 172.16.145.192:bytes=32 time=11ms TTL=57 


Ping statistics for 172.16.145.192: 
Packets:Sent=4, Received=4, Lost=0<0% loss>, 
Approximate round trip times in milli-seconds: 
Mininum=11ms, Maxinum=15ms, Average=13ms 


Reply from 172.16.145.193:bytes=32 time=11ms TTL=57 
Reply from 172.16.145.193:bytes=32 time=11ms TTL=57 


Ping statistics for 172.16.145.193: 
Packets:Sent=4, Received=4, Lost=0<0% loss>, 
Approximate round trip times in milli-seconds: 
Mininum=Sms, Maxinum=8ms, Average=6ms 


4-19 响应 状况 


从 图 4-19 可 以 看 出 ， 域 名 ww.companyl.com 对 应 了 多 个 他 地址 ， 说 明 在 图 4-20 所 示 
的 DNS 属性 中 启用 了 _Q1) 功能 。 

如 果 在 图 4-20 中 多 选 了 “启用 网 络 掩 码 排序 ”后 ， 当 存在 多 个 匹配 记录 时 ， 系 统 会 自 
动 检查 这 些 记 录 与 客户 端 P 的 网 络 掩 码 匹 配 度 ， 按 照 _(12) 原则 来 应 答 客户 端的 解析 请 
求 。 如 果 勾 选 了 “禁用 递归 ”， 这 时 DNS 服务 器 仅 采用 _(13)_ 查询 模式 。 当 同时 启用 了 
网 络 捧 码 排序 和 循环 功能 时 ，_ 44) 优先 级 较 高 。 
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下 zx 
接口 “| 转发 器 高 级 | 根 提示 | 调试 日 志 | 事件 日 志 | 监视 | 
服务 器 版 本 号 6)- 


2 3990 Dxece) 


4-20 DNS 属性 


(14) 备 选 答案 : 
A. 循环 B. 网 络 掩 码 排序 
答案 : 
【问题 1】(1) A (2) B (答案 顺序 可 互 换 ) 
【问题 2】(3) 运行 脚本 (如 ASP)(S) (4) index.html 
【问题 3】(5) 80 (6) 65535 (7): (8)C (9)AODNS 的 A 记录) 


(10) www.company2.com 
问题 4】(11) 循环 (12) 掩 码 接近 度 匹 配对 访问 者 实现 的 本 地 子 网 优先 级 排序 
(13) 迭代 (14)B 


解析 : 
【问题 1】 出 于 对 服务 器 安全 性 的 着 想 ， 微 软 取消 了 安装 操作 系统 时 默认 安装 相关 
Windows 组 件 的 做 法 ， 因 此 安装 Web 服务 和 DNS 服务 ，Serverl 需要 分 别 在 “Windows 组 
件 向 导 ” 中 选中 “应 用 服务 器 ”和 “网 络 服务 ” 复 选 框 ， 而 后 才能 进行 相关 配置 。 
【问题 2】 从 题目 中 “不 允许 用 户 上 传 文件 和 浏览 目录 ”可 见 访问 权限 设置 中 ， 不 能 i 
择 “ 写 入 ”和 “浏览 ”权限 。 
默认 文档 : 它 是 指 在 访问 您 网 站 的 时 候 自 动 定位 的 一 个 首先 访问 页 面 文件 。 本 题 中 的 
网 站 主 目录 中 只 有 一 个 文件 index.html, 而 “文档 ”选项 卡 中 无 此 文档 ， 所 以 需要 手工 添加 。 
【问题 3】Web 服务 的 默认 端口 是 80， 在 一 台 计 算 机 上 建立 多 站 点 ， 可 以 使 用 不 同 人 P 
地 址 、 不 同 主机 头 、 不 同 端口 号 三 种 方式 ， 其 中 : 采用 端口 号 区 分 不 同 站 点 。 对 于 非 标准 
端口 ,在 访问 时 需要 在 域名 或 地 址 后 面 加 上 “: 端口 号 "， 如 www. company2.com: 8080。 
用 不 同 主机 头 值 的 方法 时 ， 需 要 在 DNS 中 为 每 个 网 站 的 域名 添加 主机 记录 , 对 于 人 P 地 址 是 
同一 个 地 址 ， 每 个 站 点 的 主机 头 设置 为 这 个 站 点 的 完整 域名 ， 如 网 站 company2 的 主机 头 值 
设置 为 : www.company2.com。 采用 主机 头 区 分 站 点 在 访问 时 不 能 通过 到 地 址 ， 只 能 通过 域 
名 的 方式 访问 。 
【问题 4] DNS 轮 询 就 是 指 DNS 服务 器 将 域名 解析 请 求 按照 A 记录 的 顺序 ,逐一 分 配 
到 不 同 的 人 上， 同时 在 一 定 程度 上 也 实现 了 简单 的 负载 均衡 . 
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网 络 掩 码 排序 可 以 根据 本 地 子 网 优先 级 来 判断 DNS 地 址 和 客户 端 是 否 在 同一 个 网 段 或 
者 离 得 比较 近 ， 然 后 优先 返回 较 近 的 服务 器 的 地 址 。 

关于 本 地 子 网 优先 级 : 

当 集群 中 的 服务 器 不 在 同一 网 段 时 ， 默 认 情况 下 ， 当 客户 机 查询 解析 映射 到 多 个 卫 地 
址 的 主机 名 时 ，DNS 服务 使 用 本 地 子 网 优先 排序 作为 给 出 同一 网 络 上 首选 卫 地 址 的 方法 。 
此 功能 要 求 客 户 应 用 程序 尝试 使 用 连接 可 用 的 最 近 (一 般 是 最 快 的 )IP 地 址 连接 至 主机 。 

DNS 服务 按 以 下 方式 使 用 本 地 子 网 优先 级 。 

@ DNS 服务 确定 是 否 需要 本 地 子 网 的 优先 级 排序 查询 响应 。 

如 果 有 多 个 地 址 资源 记录 与 要 查询 的 主机 名 匹配 ， 则 DNS 服务 可 按 其 子 网 位 置 重 新 对 
记录 进行 排序 。 如 果 查 询 的 主机 名 只 与 一 个 地 址 资源 记录 匹配 ， 或 者 客户 机 的 IP 网 络 地 址 
与 多 重 资源 记录 响应 列表 上 的 任何 映射 地 址 的 人 P 网 络 地 址 匹配 ， 则 不 需要 进行 优先 排列 。 

@ ”对 于 匹配 响应 列表 中 的 每 一 个 资源 记录 ,DNS 服务 决定 了 哪些 记录 (如 果 有 ) 与 查询 
客户 机 的 子 网 位 置 匹配 。 

@ DNS 服务 重新 对 响应 列表 进行 排序 ， 以 便 将 与 发 出 请 求 的 客户 机 的 本 地 子 网 匹配 
的 主机 地 址 资源 记录 排 在 响应 列表 中 的 第 一 位 。 

@ 按 子 网 的 顺序 进行 优先 级 排序 后 ， 响 应 列表 将 返回 给 发 出 请 求 的 客户 机 。 

DNS 属性 中 启用 “循环 ”功能 后 ， 同 一 个 域名 可 以 对 应 多 个 他 地 址 。 当 启用 “网 络 掩 
码 排序 ”功能 后 ， 如 果 存 在 多 个 匹配 记录 时 ， 系 统 会 自动 检查 这 些 记 录 与 客户 端 卫 地址 的 
网 络 掩 码 匹 配 度 ， 按 照 最 长 匹配 的 原则 来 应 答 客户 端的 解析 请 求 。 

DNS 查询 模式 有 递归 查询 和 迭代 查询 ， 当 在 DNS 属性 中 色 选 了 “禁用 递归 ”时 ,DNS 
服务 器 就 会 采用 迭代 查询 模式 。 如 果 同 时 启用 了 “网 络 掩 码 排 序 ” 和 “循环 ”功能 时 ， 网 
络 掩 码 排 序 的 优先 级 较 高 。 

DNS 查询 分 为 递归 和 迁 代 两 种 模式 ， 本 题 中 禁用 递归 ， 则 必然 是 使 用 和 迭代 查询 模式 。 

例 2 【说 明 】(2015 年 下 半年 下 午 试题 三 ) 

某 企 业 采 用 Windows Server 2003 配置 了 Web、FTP 和 邮件 服务 。 

【问题 1】(4 分 ) 

Web 的 配置 如 图 4-21 和 图 4-22 所 示 。 

me ee 于 局 sa dw | 


加- EE 


Ce] ww | £52 | 禹 [双响 | Ww | 融 
图 4-21 “ 主 目录 ”选项 卡 图 4-22 “网 站 ”选项 卡 
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1. 如 果 要 记录 用 户 访问 历史 ， 需 _Q) 。 
(]) 备 选 答案 
A. 同时 色 选 图 4-21 中 “ 写 入 ” 复 选 框 和 图 4-22 中 “启用 日 志 记 录 ” 复 选 框 
时 色 选 图 4-21 中 “记录 访问 ” 复 选 框 和 图 4-22 中 “启用 日 志 记录 ” 复 选 框 
时 勾 选 图 4-21 中 “记录 访问 ” 复 选 框 和 “索引 资源 ” 复 选 框 
同时 色 选 图 4-21 中 “记录 访问 ” 复 选 框 和 图 4-22 中 “保持 HTTP 连接 ” 复 选 
框 
2. 在 图 4-22 所 示 的 4 种 活动 日 志 格式 中 ， 需 要 提供 用 户 名 和 密码 的 是 _(2) 。 
【问题 2】(4 分 ) 
根据 图 4-21 判断 正 误 。( 正 确 的 答 “ 对 ”， 错 误 的 答 “ 错 ”) 
A. 勾 选 “ 读 取 ”是 指 禁 止 客户 下 载 网 页 文件 及 其 他 文件 。_G)_ 
B. 不 勾 选 “ 写 入 ”是 指 禁 止 客户 以 HTTP 方式 向 服务 器 写 入 信息 。_(4)_ 
C. 勾 选 “目录 浏览 ”是 指 当 客户 请 求 的 文件 不 存在 时 ， 将 显示 服务 器 上 的 文件 列 
表 。 2 的 ji 
D. 当 网 页 文件 是 CGI 文件 时 ，“ 执 行 权 限 ” 中 选择 “ 纯 脚 本 ”。_(@O)_ 
【问题 3】(6 分 ) 
FTP 的 配置 如 图 4-23 所 示 。 


本 可 


B: 
GC. 
D. 


FTP 站 点 安全 帐户 | 消息 | 主 目录 | 目录 安全 性 | 
5 
二 名 访问 人 用 下 列 Windors 用 户外 户 : 


用 PP QW [TuSR_ YACHTNA-1DCOB33 浏览 介 ) 
ED re 
厂 只 记 许 匿名 连接 Q) 


图 4-23 “安全 账户 ”选项 卡 


匿名 用 户 的 权限 与 在 “本 地 用 户 和 组 ”的 权限 _(7) ，FTP 可 以 设置 (8) 虚拟 目录 。FTP 
服务 器 可 以 通过 _(9) 访问 。 
(9) 备 选 答案 : 
A. DOS、 客 户 端 方式 
B. 客户 端 、 浏 览 器 方式 
C. DOS、 浏 览 器 、 客 户 端 方式 
【问题 4】(6 分 ) 
邮件 服务 器 的 配置 如 图 4-24 所 示 。 
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los 局 
二 成 荔 添 加 了 邮箱 。 

新 邮箱 的 登录 信息 在 下 面 定义 。 在 输入 登录 信息 时 闻 件 客户 必须 使 
用 地 们 地 箱 名称 的 正确 版 本 


et 明文 身份 验证 - 
tsetDl@waxs. net 


邮件 服务 器 : XACHINA-1DCOB33 


安全 密码 身份 验证 : 
tsetOl 
邮件 服务 器 :XACHINA-1DCOB33 


图 4-24 “POP3 服务 ”对 话 框 
若 图 4-24 所 示 waws.net 域 


已 经 在 Intemet 上 注册 , 那么 在 DNS 服务 器 中 应 配置 邮件 服 
务 器 的 _(10)_ 记 录 。POP3 是 _(1D) 邮件 协议 ,配置 POP3 服务 器 的 步骤 包含 _(12) (多 选 )。 
(11) 备 选 答案 : 

A. 接收 B. 发 送 C. 存储 D. 转发 
(12) 备 选 答案 : 


A. 创建 邮件 域 B. 设置 服务 器 最 大 连接 数 
C. 安装 POP3 组 件 D. 添加 邮箱 

答案 : 

【问题 1】(1)B ”(2) ODBC 日 志 记 录 

【问题 2】(3) 错 (4) 对 (5) 对 (6) 错 

【问题 3】(7) 相同 “(8) 站 点 (9)C 


【问题 4] IOMX (DA (2)C、A、D 
解析 : 


【问题 1】 


记录 访问 : 在 日 志文 件 中 记录 对 网 站 的 访问 。 需 要 勾 选 “记录 访问 ”和 “启用 日 志 
记录 ” 复 选 框 。 
在 4 种 活动 日 志 格式 中 ， 只 有 ODBC 日 志 记录 需要 连接 数据 库 ， 需 要 提供 用 户 名 和 
密码 。 
【问题 2】 
读 取 : 由 于 网 站 主要 是 供用 户 浏览 的 ， 一 般 指 需要 选择 “ 读 取 ” 即 可 。 
写 入 : 客户 以 HITP 方式 向 服务 器 写 入 内 容 。 
目录 浏览 : 客户 可 以 查看 服务 器 上 文件 的 目录 结构 。 
CGI 是 外 部 应 用 程序 (CGI 程序 ) 与 Web 服务 器 之 间 的 接口 标准 。 当 网 页 是 CGI 时 候 ， 
执行 选项 改 成 脚本 和 可 执行 程序 。 
【问题 3】 


匿名 用 户 的 权限 和 “本 地 用 户 和 组 ”的 权限 相同 ，FTP 设置 站 点 虚拟 目录 。FTP 服务 
器 可 以 通过 DOS、 浏 览 器 、 客 户 端 方式 访问 。 
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【问题 4] 
MX 记录 是 用 于 电子 邮件 系统 发 邮件 时 根据 收 信人 的 地 址 后 组 来 定位 邮件 服务 器 。 例 
如 ， 当 收 件 人 为 “user@csai.com” 时 ， 系 统 将 对 “csai.com” 进 行 DNS 中 的 MX 记录 解析 。 
如 果 MX 记录 存在 ， 系 统 就 根据 MX 记录 的 优先 级 ， 将 邮件 转发 到 与 该 MX 相应 的 邮件 服 
务 器 上 。 
POP3 是 电子 邮件 接收 协议 , 配置 POP3 服务 器 的 步骤 包括 安装 POP 组 件 、 创 建 邮件 域 、 
添加 邮箱 。 


例 3 【说 明 】(2015 年 上 半年 下 午 试题 三 ) 

某 企 业 采 用 Windows Server 2003 配置 了 共享 打印 、FTP 和 DHCP 服务 。 

【问题 1】(8 分 ) 

1. Internet 共享 打印 使 用 的 协议 是 _(D 一 。(1 分 ) 

(1) 备 选 答案 : 

A. PPI B. IPP C.TCP D. 了 PP 

2. Internet 共享 打印 配置 完成 后 ， 需 在 如 图 4-25 所 示 的 “Web 服务 扩展 ”选项 界面 中 将 

Active Server Pages 设置 为 “允许 ”， 其 目的 是 _(2) _。(2 分 ) 


EECTIETICTTCT lal] 
EEC | 


了 MR ot FR Mt 


李 所 有 有 来 妈 SA 扩展 和 
Yhctive Server Pages Mm 
9 ee Wk 


J Wt 0 Of Eo 
ep WE 0 M019 a 
站 etreet 风潮 mt 
Ms Ed 
pay 本目 
9 ER Wt 


图 4-25 “Web 服务 扩展 ”选项 界面 
3. 检验 Internet 打印 服务 是 否 安装 正确 的 方法 是 在 Web 浏览 器 的 地 址 栏 输 入 URL 是 


一 3) Q2 分 ) 
(3) 备 选 答案 : 
A. HTTP: //127.0.0.1/PRINTERS B. FT?P: /127.0.0.1/PRINTERS 
C. HTT?P: /PRINTERS D. FTP: //PRINTERS 
4. 使 用 Internet 共享 打印 流程 为 6 个 步 又， 


QD 在 终端 上 输入 打印 设备 的 URL 

@ ”服务 器 向 用 户 显 示 打印 机 状态 信息 
@ 客户 端 向 打印 服务 器 发 送 身份 验证 信息 
@ 用 户 把 要 打印 的 文件 发 送 到 打印 服务 器 
@ 
@ 
对 


打印 服务 器 生成 一 个 cabinet 文件 ， 下 载 到 客户 端 
通过 Intemet 把 HTTP 请 求 发 送 到 打印 服务 器 
以 上 步 又 进行 正确 的 排序 _(4) _。G3 分 ) 
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【问题 2】 (8 分) 
FTP 的 配置 如 图 4-26 和 图 4-27 所 示 。 


里 认 FTP 站 点 民 性 


GD 
TP 站 点 | 安全 帐户 | 消息 ”| 主 目录 “目录 安全 性 | FT 节点 | 安全 朵 户 | 消息 | 主 目录 | 目录 安全 性 | 
一 1CPTP 地 址 访问 限 制 FT 站 点 标识 
陵 兴 和风 下 ， 打 有 计算 机 都 这 。 7 人 好 到 访问 Dm | 
下 面 玫 册 的 除外; 鸭 C 弄 同 四 | 
TCF 请 口 四: 辕 
ee ET] 
个 一 自 计算 机 总 ) 广大 受 刺 制 
人 一 组 计算 机 人) 人 竺 接 限制 为 如 100 000 
过 jt 他) €): 120 
网 络 标识 台 ) 子 同 措 码 人; 一 启用 日 老 记录 世 ) 
hem so [ss 25 活动 老生 式 了; 
me i 于 民 志文 区 。 到 “ 属 仁 @) 
wm | mm 
一 — 当前 会 话 轴 ) 
了 |_| 和 册 CC ]_ 了 | Bw |_ 移 
4-26 “目录 安全 性 ”选项 卡 4-27 “FTP 站 点 ”选项 卡 


1. 默认 情况 下 ， 用 户 登 录 FTP 服务 器 时 ， 服 务 器 端 建立 的 TCP 端口 号 为 _(5) _。 
2. 如 果 只 允许 一 台 主机 访问 FTP 服务器， 参考 图 4-26 给 出 具体 的 操作 步骤 _(O)_。 
3. 参考 图 4-27， 在 一 台 服务 器 上 搭建 多 个 FTP 站 点 的 方法 是 _(7) 。 

4. 如 单 击 图 4-27 中 “当前 会 话 ” 按 钮 ， 显 示 的 信息 是 (8) _。 

【问题 3】 (4 分 ) 

DHCP 的 配置 如 图 4-28 和 图 4-29 所 示 。 


| | 
| 新 路 由 协议 四 
可 用 选项 说 明 | 您 起 要 二 加 的 路 册 协议， 然后 按 “确定 " 
口 oo2 时 间 信和 MET 仿 敬 各 计 Pt 
回 003 路 由 路 按 首 选项 排 的 用 器 由 协议 @), 
i 时 间 妥 亿 最 | DMP 中 然 代理 各 序 


于 IGMP 路 由 器 内 及 代理 服务 器 
入 开放 式 最 短路 径 忧 先 (DSPF) 
入 用 于 Internet 协议 的 RIP 版 本 2 


图 4-28 “常规 ”选项 卡 4-29 “新 路 由 协议 ”对 话 框 


1. 图 4-28 中 填 入 的 他 地 址 是 (9) 。 


2. 图 4-29 中 配置 DHCP 中 继 代 理 程 序 ， 可 以 实现 _(10) _。 
(9) 备 选 答案 : 

A. 分 配给 客户 端的 卫 地址 

B. 默认 网 关 的 他 地 址 

C. DHCP 服务 器 的 他 地 址 
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(10) 备 选 答案 : 
A. 使 普通 客户 机 获取 他 等 信息 
B. 跨 网 段 的 地 址 分 配 
C. 特定 用 户 组 访问 特定 网 络 
答案 : 
【问题 1】 
(DB ”(2) 允许 运行 mntemet 打印 服务 的 ASP 脚本 (3)A (4) DQ@@@e@ 
【问题 2】 

(5)21 

(6) 选中 “拒绝 访问 ”， 添 加 允许 计算 机 的 他 地址 

(7) 不 同 的 他 地 址 或 相同 的 也 、 不 同 的 TCP 端口 

(8) 连接 的 客户 端 会 话 信息 

【问题 3】 
(9)B (0B 
解析 : 

【问题 1】 

IPP(Internet 打印 协议 ) 侦 听 服 务 提供 了 一 个 IPP 网 络 协议 服务 ， 该 服务 为 打印 客户 机 
系统 提供 一 种 与 运行 侦 听 程序 的 系统 上 的 打印 服务 进行 交互 的 方法 。 此 侦 听 程序 实现 了 服 
务 器 端 IPP 协议 支持 ， 其 中 包括 一 组 广泛 的 标准 操作 和 属性 。 

开启 Active Server Pages 服务 扩展 ， 以 便 允 许 服务 器 运行 Intemet 打印 服务 的 ASP 脚本 
文件 。 

通过 Web 访问 Internet 打印 服务 器 的 方法 为 : HTTP: /127.0.0.1PRINTERS。 

Internet 打印 流程 如 下 。 

(1) 用 户 输入 打印 设备 的 URL( 统 一 资源 定位 符 )， 通 过 Intemet 连接 到 打印 服务 器 。 

(2) HTTP 请 求 通过 Internet 发 送 到 打印 服务 器 。 

(3) 打印 服务 器 要 求 客 户 端 提供 身份 验证 信息 。 这 样 能 够 确保 只 有 经 过 授权 的 用 户 才 
能 在 打印 服务 器 上 打印 文件 。 

(4) 当 用 户 获得 授权 可 以 访问 打印 服务 器 后 ， 服 务 器 使 用 活动 服务 器 页 (Active Server 
Pages，ASP) 向 用 户 显 示 状 态 信息 ， 其 中 包括 有 关 当 前 空闲 打印 机 的 信息 。 

(5) 当 用 户 连 接 Intemet 打印 网 页 上 的 任何 打印 机 时 ， 客 户 端 计算 机 首先 尝试 在 本 地 
寻找 该 打印 机 的 驱动 程序 . 如果 没有 找到 适合 的 驱动 程序 , 打印 服务 器 将 会 生成 一 个 cabinet 
文件 (.cab 文件 ,又 称 为 Setup 文件 ), 其 中 包含 正确 的 打印 机 驱动 程序 文件 .打印 服务 器 把 .cab 
文件 下 载 到 客户 端 计算 机 上 。 客 户 端 计算 机 提示 用 户 允 许 下 载 该 .cab 文件 。 

(6) 当 用 户 连接 到 Internet 打印 机 后 , 他 们 可 以 使 用 Intemet 打印 协议 (Internet Printing 
Protocol，IPP) 把 文件 发 送 到 打印 服务 器 。 

【问题 2】 

FTP 使 用 的 TCP 端口 号 为 21。 

“目录 安全 性 ”选项 卡 中 ， 只 允许 单 台 主机 访问 ， 可 以 选中 “拒绝 所 有 ”， 然 后 添加 主 

机 的 全 地 址 。 
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搭建 多 个 FTP 站 点 的 方式 是 : 不 同 卫 地 址 或 相同 的 卫 、 不 同 的 端口 号 。 
“当前 会 话 ” 中 ， 显 示 了 连接 到 FTP 服务 器 的 客户 端 信息 。 
【问题 3】 
配置 DHCP 服务 器 选项 时 ，003 路 由 器 设置 分 配给 客户 端的 网 关 地 址 。 通 过 DHCP 中 
继 代 理 ， 可 以 实现 跨 网 段 的 地 址 分 配 。 


4.1.3 同步 练习 


1. 【说 明 】(2014 年 下 半年 下 午 试题 二 ) 

某 中 学 为 两 个 学 生 课外 兴趣 小 组 提供 了 建立 网 站 的 软 硬 件 环境 。 网 站 环境 的 基本 配置 
方案 如 下 。 

(1) 两 个 网 站 配置 在 同一 台 服 务 器 上 , 网 站 服务 由 Windows 2003 环境 下 的 IS 6.0 提 供 。 

(2) 网 站 的 管理 通过 Windows 2003 的 远程 桌面 实现 , 并 启用 Windows 2003 的 防火 墙 
组 件 。 

(3) 为 兴趣 小 组 建立 各 自 独立 的 文件 夹 作为 上 传 目 录 和 网 站 的 主 目录 ， 对 用 户 使 用 磁 
盘 空 间 大 小 进行 了 设 定 。 

(4) 通过 不 同 的 域名 分 别 访问 课外 兴趣 小 组 各 自 的 网 站 。 

按照 方案 ， 学 校 的 网 络 工程 师 安装 了 Windows 2003 服务 器 ， 使 用 IIS 6.0 建立 Web 和 
FTP 服务 器 ， 配 置 了 远程 桌面 管理 、 防 火 墙 ， 在 服务 器 上 为 两 个 课外 兴趣 小 组 分 配 了 不 同 
的 用 户 名 ， 进 行 了 初步 的 权限 配置 。 

【问题 1】(4 分 ) 

Windows 2003 远程 桌面 服务 的 默认 端口 是 _(D ， 对 外 提供 服务 使 用 _(2) 协议 。 在 
4-30 中 ， 若 要 拒绝 外 部 设备 ping 服务 器 ， 在 防火 墙 的 ICMP 配置 界面 上 应 该 如 何 操作 ? 

【问题 2】(4 分 ) 

1. 在 图 4-31 中 ，“Web 服务 扩展 ”选项 界面 中 “所 有 未 知 CGI 扩展 禁止 ”的 含义 是 


什么 ? 
2. 在 图 4-31 中 , 如 何 配置 Web 服务 扩展 , 网 站 才能 提供 对 asp.net 或 ASP 程序 的 支持 。 
2 
服务 | 安全 日 志 [本 rr ry 查看 窗口 和 ) 才 助 如 
We “3 加 | 国贸 加 加 | 罗 | 加 |》 


册 Internet 信息 服务 /| Web 服务 扩展 
日 蔓 WEB (本 地 计算 机 ) 了 了 所 有 未 知 C6I 扩展 
it 村 有 未 知 ISAPI 扩展 
加 hetive Server Pages 
加 Internet 数据 庄 接 器 


到 2 FIP 站 点 
A sd 
识 信息 “标题” 回 昌 发 件 人 > 
图 4-30 “高 级 设置 ”对 话 框 图 4-31 “Web 服务 扩展 ”选项 界面 
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【问题 3】(5 分 ) 
在 图 4-31 中 ， 选 择 IIS 管理 器 中 的 “FTP 站 点 ”一 “新 建 ” 一 “虚拟 目录 ”， 分 别 设 
置 FTP 用 户 与 _G) 、_( 和 的 对 应 关系 。 
由 于 IIS 内 置 的 FTP 服务 不 支持 _(5) _， 所 以 FTP 用 户 密码 是 以 明文 方式 在 网 络 上 传 
输 ， 安 全 性 较 弱 。 
【问题 4】(4 分 ) 
在 IIS 6.0 中 ， 每 个 Web 站 点 都 具有 唯一 的 、 由 三 部 分 组 成 的 标识 符 ， 用 来 接收 和 响应 
请 求 ,分 别 是 _(6) 、_(7) 和 _(8) 。 网 络 工程 师 通 过 单 击 “ 网 站 属性 ”一 “网 站 ”一 
“高 级 选项 ”， 通 过 添加 _(9) 的 方式 在 一 个 他 地 址 上 建立 多 个 网 站 。 
【问题 5】(3 分 ) 
在 _00) 文件 系统 下 ,为 了 预防 用 户 无 限制 地 使 用 磁盘 空间 可 以 使 用 磁盘 配额 管理 。 
启动 磁盘 配额 时 ， 设 置 的 两 个 参数 分 别 是 41)_ 和 (12) 。 
2. 【说 明 】(2014 年 上 半年 下 午 试题 二 ) 
某 公司 采用 Windows Server 2003 操作 系统 搭建 该 公司 的 企业 网 站 ， 要 求 用 户 在 浏览 器 
地 址 必须 输入 https://www.gqngsi.com/index.html 或 https://117.112.89.67/index.html 来 访问 该 
公司 的 网 站 。 其 中 ，index.html 文件 存放 在 网 站 服务 器 E:\gsdata 目录 中 。 在 服务 器 上 安装 完成 
IIS 6.0 后 ,“ 默 认 网 站 属性 ”对 话 框 “ 网 站 ”“ 主 目录 ”选项 卡 分 别 如 图 4-32 和 图 4-33 所 示 。 
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图 4-32 “网 站 ”选项 卡 图 4-33 “ 主 目录 ”选项 卡 


【问题 1】(4 分 ) 
1. 按照 题目 说 明 ， 图 4-32 中 的 “IP 地 址 ”文本 框 中 的 内 容 为 _(D _;“SSL 端口 ” 文 


本 框 内 容 为 _(2) 。 
2. 在 图 4-33 中 ,“ 本 地 路 径 ” 文 本 框 中 的 内 容 为 _(3) _; 同时 要 保障 用 户 通过 题目 要 
求 的 方式 来 访问 网 址 ， 必 须 至 少 勾 选 _(4) 复 选 框 。 
(和) 备 选 答案 : 
A. 脚本 资源 访问 B. 读 取 C. 写 大 D. 目录 浏览 
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【问题 2】(6 分 ) 

1. 配置 该 网 站 时 ， 要 在 如 图 4-34 所 示 “ 目 录 安 全 性 ”选项 卡 中 单 击 “ 服 务 器 证 书 ” 按 
钮 来 获取 服务 器 证 书 ， 其 中 获取 服务 器 证 书 的 步骤 顺序 如 下 : 外 生 产 证 书 请 求 文件 ; 
@_(5) _; @ 从 CA 导出 证 书 文件 ，@ 在 IIS 服务 器 上 导入 安装 文件 。 

2. 配置 完成 后 ， 当 用 户 登录 该 网 站 时 ， 通 过 验证 CA 的 签名 来 确认 数字 证 书 的 有 效 性 ， 
从 而 _(6) ，CA 颁发 给 Web 网 站 的 数字 证 书 不 包括 _ (7)_。 


(0 一 (7) 备 选 答案 ; 
(6) A. 验证 网 站 的 真 伪 B. 判断 用 户 的 权限 

C. 加 密 发 送 服务 器 的 数据 D. 解密 所 接收 的 客户 端 数据 
(7) A. 证 书 的 有 效 期 B. 网 站 的 公 钥 

C. 证 书 的 序列 号 D. 网 站 的 私 钥 


【问题 3】(2 分 ) 
配置 该 网 站 时 ， 在 图 4-34 的 对 话 框 中 单 击 “ 安 全 通信 ”选项 组 中 的 “编辑 ”按钮 ， 弹 

出 如 图 4-35 所 示 对 话 框 。 按 题目 要 求 ， 客 户 端 浏览 器 只 能 通过 HTTPS 方式 访问 服务 器 , 此 
时 应 勾 选 图 4-35 中 的 _(8)_ 框 ,如 果 要 求 客户 端 和 服务 器 进行 双向 认证 ,此 时 应 勾 选 图 4-35 
中 的 _(9) 框 。 
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图 4-34 “目录 安全 性 ”选项 卡 图 4-35 “安全 通道 ”对 话 框 


【问题 4】(2 分 ) 

HTTPS 用 于 在 客户 计算 机 和 服务 器 之 间 提供 安全 通信 ， 广 泛 用 于 因特网 上 安全 敏感 的 
应 用 ,例如 _Q0)_ 应 用 。 

HTTPS 使 用 安全 套 接 子 层 (SSL) 进 行 信息 交换 。SSL 目前 版 本 是 3.0， 被 ETF 定义 在 
RFC 6101 中 。IETF 对 SSL 进行 升级 后 的 继任 者 是 (11)。 

(10) 备 选 答案 : 

A. 网 络 聊天 B. 网 络 视频 C. 网 上 交易 D. 网 络 下 载 
【问题 5】(1 分 ) 
使 用 HTTPS 能 不 能 确保 服务 器 自身 安全 ? 
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4.1.4 同步 练习 参考 答案 


1. 答案 : 
【问题 1】 
(1)3389 (2) RDP 
取消 勾 选 “人 允许 传 入 回 显 请 求 ” 
【问题 2】 
1. 除非 明确 允许 一 个 应 用 在 IIS 6.0 上 人 允许， 否则 就 禁止 运行 ， 提 高 安全 性 。 
2. Active Server Pages 修改 为 允许 。 
【问题 3】 
(3)xiaozu-a (4)xiaozu-b (5)SSL 
【问题 4】 
(6) 地址 (7) 端口 ”(8) 域名 ” (9) 主机 头 

【问题 5】 

(10) NTFS (11) 磁盘 配额 限制 ”(12) 磁盘 配额 警告 级 别 
解析 : 

【问题 1】Windows 2003 远程 桌面 服务 的 默认 端口 是 3389, 对 外 提供 服务 使 用 RDP 协 
议 (远程 显示 协议 )。 拒 绝 外 部 设备 ping 服务 器 ， 也 就 是 不 允许 传 入 回 显 请 求 。 

【问题 2〗】 如 果 选 择 允 许 所 有 通用 网 关 接 口 (CGI) 在 Web 服务 器 上 运行 ， 则 Web 服务 
器 容易 受到 使 用 CGI 技术 的 计算 机 病毒 或 蠕虫 程序 的 攻击 。 禁止 该 扩展 意味 着 除非 明确 地 
允许 一 个 应 用 在 IIS 6.0 上 运行 ， 否 则 它 就 不 能 运行 。 

要 想 网 站 提供 对 ASP.NET 或 ASP 程序 的 支持 ,必须 增加 ASP.NET 模块 (启用 ASPNET 
的 服务 扩展 项 )。 将 Active Server Pages 配置 为 “允许 ”，IIS 6.0 即 可 提供 对 ASP 支持 。 

【问题 3】FTP (File Transfer Protocol, FTP) 是 TCP/IP 网 络 上 两 台 计 算 机 传送 文件 的 协 
议 ，FTP 是 在 TCP/IP 网 络 和 Internet 上 最 早 使 用 的 协议 之 一 ， 它 属于 网 络 协议 的 应 用 层 。 
FTP 客户 机 可 以 给 服务 器 发 出 命令 来 下 载 文件 、 上 传 文件 、 创 建 或 改变 服务 器 上 的 目录 ， 
FTP 的 默认 端口 是 21。 由 于 IIS 中 的 FTP 服务 不 支持 安全 套 接 层 (SSL) 上 的 FTP， 因此， 如 
果 要 保证 通信 的 安全 性 ,同时 又 需要 使 用 FTP 作为 传输 协议 (相对 于 在 SSL 上 使 用 WebDAV 
而 言 )， 可 以 考虑 在 加 密 通 道 (如 虚拟 专用 网 络 ) 上 使 用 FTP， 此 类 加 密 通 道 通过 点 对 点 隧道 
协议 或 IPSec 保证 安全 性 。 

【问题 4] IIS 是 一 种 Web( 网 页 ) 服 务 组 件 ， 其 中 包括 Web 服务 器 、FTP 服务 器 、NNTP 
服务 器 和 SMTP 服务 器 , 分别 用 于 网 页 浏览 、 文 件 传输 、 新闻 服务 和 邮件 发 送 等 方面 . IIS6.0 
增强 了 安全 性 ， 为 了 尽量 减少 系统 被 攻击 的 危险 ， 在 默认 情况 下 ，IIS 6.0 是 不 会 被 安装 在 
Win 2003 中 的 ， 管理 员 需要 手动 进行 安装 ，IIS 6.0 在 被 锁定 状态 中 只 为 静态 内 容 
(htm，.jpg，.bmp 等 ) 提 供 服务 ， 通 过 网 络 服务 扩展 节点 ， 网 站 管理 员 可 根据 企业 的 需 
求 起 用 或 禁止 IIS 功能 。 

【问题 5〗】NTFS 文件 系统 可 以 进行 磁盘 配额 管理 。 磁 盘 配额 就 是 管理 员 可 以 为 用 户 所 
能 使 用 的 磁盘 空间 进行 配额 限制 ， 每 一 个 用 户 只 能 使 用 最 大 配额 范围 内 的 磁盘 空间 。 设 置 
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磁盘 配额 后 ， 可 以 对 每 一 个 用 户 的 磁盘 使 用 情况 进行 跟踪 和 控制 ， 通 过 监测 可 以 标识 出 超 
过 配额 报警 阅 值 和 配额 限制 的 用 户 ， 从 而 采取 相应 的 措施 。 磁 盘 配 额 管理 功能 的 提供 ， 使 
得 管理 员 可 以 方便 合理 地 为 用 户 分 配 存储 资源 ， 避 免 由 于 磁盘 空间 使 用 的 失控 可 能 造成 的 
系统 前 渍 ， 提 高 了 系统 的 安全 性 。 
2. 答案 : 
【问题 1】 

(1) 117.112.89.67 (2) 443 ” (3) E:\gsdata ”(4) B 或 读 取 
【问题 2】 

(5) 提交 证 书 申请 。 (6) A 或 验证 网 站 的 真 伪 ” (7) DD 或 网 站 的 私 钥 
【问题 3】 
) “要 求 安全 通道 (SSL) ” ”(9) “要 求 客户 端 证 书 ” 
【问题 4】 

(10) C 或 网 上 交易 ” (11) TLS 
【问题 5】 不 能 

解析 : 
【问题 1】 

1. 题 干 中 明确 说 明 可 以 通过 https: //117.112.89.57/index.html 访问 公司 网 站 ， 则 在 
图 4-32 中 “网 站 ”选项 卡 “IP 地 址 ”文本 框 输入 的 卫 址 为 117.112.89.67。 

SSL(Secure Sockets Layer， 安 全 套 接 层 ) 及 其 继任 者 安全 传输 层 (Transport Layer 
Security，TLS) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。TLS 与 SSL 在 传输 层 
对 网 路 连接 进行 加 密 。 该 协议 结合 HTTP 构成 HITPS 协议 , HTTPS 协议 是 HTTP 的 安全 升 
级 版 ， 该 协议 基于 TCP 443 端口 。 

2. 题 干 中 明确 说 明 index.html 文件 放 在 网 站 服务 器 E:\gsdata 目录 中 ， 图 4-33“ 本 地 路 
径 ”文本 框 应 填 入 E:\gsdata。 对 于 一 个 网 站 而 言 ， 可 以 通过 也 或 域名 的 方式 访问 ， 在 4-33 
中 至 少 应 该 开启 “ 读 取 ” 权 限 ， 否 则 此 网 站 是 不 能 访问 的 。 

【问题 2】 

为 了 保证 网 站 与 客户 交互 过 程 中 的 安全 性 ， 可 以 为 网 站 服务 器 向 CA 申请 服务 器 证 书 ， 
证 书 上 绑 定 了 服务 器 的 ID 和 公 钥 ， 用 户 访问 此 网 站 时 ， 下 载 服务 器 证 书 ， 并 利用 服务 器 上 
的 公 钥 加 密 交 互信 息 ， 以 达到 机 密 性 的 要 求 。 服 务 器 向 CA 申请 证 书 的 过 程 为 : 

@ 生成 证 书 请 求 文件 。 

@ 提交 证 书 申请 。 

@ 从 CA 导出 证 书 文件 。 

图 在 IIS 服 务 器 上 导入 并 安装 证 书 。 

用 户 访问 网 站 服务 器 时 , 下载 服务 器 证 书 首先 通过 证 书 上 CA 的 签名 鉴别 该 证 书 的 合法 
性 ， 就 好 像 日 常生 活 中 办 理 宾馆 入 住 要 先 提 交 身 份 证 一 样 。 确 认 该 服务 器 证 书 合法 之 后 ， 
表示 客户 端 信任 了 该 证 书 的 主体 (网 站 服务 器 )。X.509 标准 规定 了 证 书包 含 版 本 、 序 列 号 、 
签名 算法 标识 符 、 签 发 人 签名 、 有 效 期 、 主 体 名 、 主 体 公 钥 信息 等 ， 但 不 包含 证 书 主体 的 
私 钥 。 

【问题 3】 
客户 端 只 能 通过 HTTPS 方式 访问 网 站 服务 器 , 则 应 该 开启 SSL 功能 , 通过 勾 选 图 4-35 
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中 “和 要求 安全 通道 (SSL)” 复 选 框 开 启 。 客 户 端 可 以 以 HTTPS 方式 访问 网 站 ， 而 且 可 以 下 
载 服务 器 证 书 ， 验 证 证 书 合法 性 以 及 利用 服务 器 证 书 公 钥 加 密 信 息 。 若 服务 器 和 客户 端 要 
进行 双向 认证 ， 亦 即 客 户 端 验证 服务 器 证 书 的 合法 性 同时 服务 器 也 要 验证 客户 端 证 书 的 合 
法 性 ， 以 实现 双向 信任 。 要 在 客户 端 安装 客户 端 证 书 而 且 在 网 站 服务 器 图 4-35 界面 上 选中 
“要 求 客户 端 证 书 ” 单 选 按钮 。 

【问题 4】 

本 问题 主要 考查 的 是 HITPS 的 基本 知识 。 

HTTPS 是 基于 安全 目的 的 HTTP 通道 ， 其 安全 基础 由 SSL 层 来 保证 。 最 初 由 netscape 
公司 研发 ， 主 要 提供 了 通信 双方 的 身份 认证 和 加 密 通 信 方 法 。 现 在 广泛 应 用 于 互联 网 上 对 
安全 敏感 的 通信 ， 如 网 上 交易 、 在 线 支付 等 。 

安全 套 接 层 (Secure Sockets Layer, SSL) 是 一 种 安全 协议 ， 是 网 景 公司 (Netscape) 在 推出 
Web 浏览 器 首 版 的 同时 提出 的 ， 目 的 是 为 网 络 通信 提供 安全 及 数据 完整 性 。SSL 在 传输 层 
对 网 络 连接 进行 加 密 。 

SSL 采用 公开 密 钥 技 术 ， 保 证 两 个 应 用 间 通 信 的 保密 性 和 可 靠 性， 使 客户 与 服务 器 应 
用 之 间 的 通信 不 被 攻击 者 窃听 。 它 在 服务 器 和 客户 机 两 端 可 同时 被 支持 ， 目 前 已 成 为 互联 
网 上 保密 通信 的 工业 标准 。 现行 Web 浏览 器 亦 普遍 将 HTTP 和 SSL 相 结合 ， 从 而 实现 安全 
通信 。 此 协议 的 继任 者 是 TLS。 

IETF (www.ietf org) 将 SSL 作 了 标准 化 ,， 即 RFC2246，, 并 将 其 称 为 TLS (Transport Layer 
Security)， 其 最 新 版 本 是 RFC5246， 版 本 1.2。 从 技术 上 讲 ，TLS1.0 与 SSL3.0 的 差异 非常 
微小 。TLS 利用 密 钥 算法 在 互联 网 上 提供 端点 身份 认证 与 通信 保密 ， 其 基础 是 公 钥 基础 设 
施 (Public Key Infrastructure，PKD)。 

【问题 5】 

HTTPS 只 是 负责 用 户 服务 器 和 客户 机 交互 时 的 合法 性 验证 以 及 交互 信息 的 安全 ， 但 不 

能 保证 服务 器 自身 的 安全 ， 比 如 黑客 攻击 、DOS 攻击 ， 这 些 防 范 是 HTTPS 做 不 到 的 。 


4.2 DNS 服务 器 的 配置 


4.2.1 考点 辅导 


网 络 中 的 计算 机 必须 知道 目的 计算 机 的 了 P 地 址 才能 与 之 通信 ， 然 而 Intemet 上 计算 机 
的 数量 极为 庞大 , 而 且 他 地址 是 一 连 串 数字 的 组 合 , 单 从 人 P 地 址 很 难看 出 是 哪 一 台 计算 机 ， 
也 难以 记忆 ， 所 以 单纯 让 用 户 记 住 对 方 计算 机 的 瑟 地 址 并 以 此 来 进行 访问 是 不 现实 的 。 为 
了 解决 这 个 问题 ， 可 以 为 每 台 计算 机 指定 一 个 唯一 的 、 容 易 记忆 的 字符 串 名 称 ， 那 么 用 户 
就 可 以 直接 通过 计算 机 的 名 称 来 访问 了 。 

随 之 而 来 的 问题 是 ， 当 用 户 使 用 目标 计算 机 的 名 称 访问 对 方 时， 自己 的 计算 机 仍 需要 
知道 目标 计算 机 的 瑟 地 址 ， 然 后 才能 将 其 封装 在 数据 包 中 通过 网 络 发 送 给 对 方 。 然 而 用 户 
并 不 知道 目标 计算 机 的 IP 地 址 ， 只 知道 其 名 称 。 为 了 解决 这 个 矛盾 ， 网 络 中 必须 有 一 种 能 
够 将 计算 机 名 称 转换 成 其 相应 的 他 地 址 , 并 将 这 个 人 P 地 址 发 送 给 用 户 所 使 用 的 计算 机 的 服 
务 。 这 样 用 户 只 需 输 入 对 方 计算 机 的 名 称 ， 而 自己 的 计算 机 会 自动 通过 这 个 服务 获得 该 名 
称 所 对 应 的 了 P 地 址 ， 从 而 实现 计算 机 之 间 的 通信 ， 这 就 是 所 谓 的 “名 称 解析 ”。 从 上 述 的 
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过 程 可 以 看 出 ，“ 名 称 解 析 ” 就 是 把 目标 计算 机 的 名 称 转换 为 目标 计算 机 下 地 址 的 过 程 。 
目前 ， 使 用 最 为 广泛 的 名 称 解 析 服 务 ， 就 是 域名 系统 Domain Name System，DNS)。 

DNS 是 针对 ARPnet 的 一 些 特殊 问题 发 展 而 来 的 。 早 期 的 ARPnet 只 拥有 几 百 台 主 机 ， 
只 需要 一 个 名 为 hosts.txt 的 文件 就 可 以 包含 所 有 连接 到 ARPnet 主机 的 名 字 -地 址 的 映射 。 
它 通 过 将 该 文件 定期 更 新 并 分 发 给 各 主机 ， 来 实现 对 整个 网 络 主机 信息 的 维护 。 但 是 随 着 
网 络 规模 的 增长 ， 这 种 方式 开始 无 法 满足 要 求 , 有 时 新 的 hosts.txt 文件 还 没 来 得 及 分 发 到 所 
有 主机 ， 一 些 主机 的 地 址 就 已 经 改变 ， 或 是 有 新 的 主机 添加 到 网 络 中 。DNS 的 产生 ， 就 是 
为 了 解决 使 用 单一 hosts.txt 文件 所 带 来 的 诸多 问题 。 

计算 机 的 名 称 主要 有 两 种 ， 完 全 合格 域名 (Full Qualified Domain Name，FQDN) 和 
NetBIOS 名 。 下 面 只 介绍 Intemet 上 广泛 使 用 的 完全 合格 域名 。 

Internet 上 的 计算 机 数量 众多 ， 因 此 计算 机 的 完全 合格 域名 用 的 数量 也 十 分 庞大 。 为 了 
便于 对 这 些 名 称 进行 管理 ， 必 须 按 照 某 种 方式 把 它们 组 织 起 来 ， 以 避免 相互 之 间 发 生 冲 突 。 
这 种 对 计算 机 的 完全 合格 域名 进行 组 织 的 框架 结构 ， 称 为 “域名 空间 ”。 在 “域名 空间 ” 
中 ， 为 了 便于 对 大 量 的 计算 机 名 称 进行 管理 ， 引 入 了 “ 域 ”的 概念 。 所 谓 “ 域 ”， 就 是 只 
包含 了 大 量 计算 机 名 称 的 空间 。 例 如 ，“com” 就 是 一 个 域 的 名 称 ， 它 代表 了 一 个 空间 ,里 
面包 含 了 大 量 的 计算 机 名 称 。 

DNS 使 用 一 种 组 织 成 层次 结构 的 名 字 空 间 来 为 主机 命名 ， 确 保 了 名 字 的 唯一 性 ， 如 
图 4-36 所 示 。 在 域名 空间 中 ， 最 大 域 的 名 称 为 “.”， 该 域 称 为 “ 根 域 ”。Internet 上 所 有 
计算 机 的 完全 合格 域名 都 被 置 于 根 域 下 ， 无 一 例外 。 为 了 进一步 对 根 域 中 的 计算 机 名 称 进 
行 管理 , 在 根 域内 分 割 了 若干 个 子 域 , 如 com、edu、 net 和 gov 等 , 这些 子 域 通常 被 称 为 “ 顶 
级 域 ”。 顶 级 域 的 完整 域名 由 自己 的 域名 与 根 域 的 名 字 组 合 而 成 ， 例 如 ，“com” 域 的 完整 
域名 为 “com.”。 为 了 进一步 对 顶级 域 中 的 计算 机 名 称 进行 管理 ， 在 顶级 域内 继续 分 割 了 
若干 个 子 域 ,这 些 子 域 称 为 “二 级 域 ”。 例如， 在 “com.” 下 可 以 继续 划分 出 example、abe 
等 子 域 。 二 级 域 的 完整 域名 由 自己 的 域名 和 上 一 级 域 的 域名 组 合 而 成 ， 中 间 用 “.” 隔 开 。 
例如 ， 二 级 域 example 的 完整 域名 是 example.com.。 以 此 类 推 ， 在 二 级 域 下 还 可 以 再 分 割 出 
三 级 域 等 。 在 各 个 域 中 放置 的 计算 机 名 称 为 “主机 名 ”， 主 机 名 和 其 所 在 域 的 完整 域名 组 
成 了 这 个 主机 的 完全 合格 域名 。 例 如 ， 在 图 4-36 中 ， 主 机 Host-A 的 完全 合格 域名 就 是 


了 Host-A.hello.example.com 。 


根 


mil edu gov /comorg net int … 


example( 二 级 域名 ) 


hello 


{example 域 下 的 hello 子 域 ) 


“© Host-A 
图 4-36 ”DNS 名 字 空间 结构 图 
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DNS 的 这 种 结构 类 似 于 Windows 中 某 个 驱动 器 下 的 目录 和 文件 结构 。 根 域 “.” 对 应 于 
Windows 中 的 “\”， 各 级 域名 的 关系 对 应 于 目录 和 子 目 录 ， 主 机 名 对 应 于 文件 名 。 正 是 这 
种 层次 结构 保证 了 名 字 的 唯一 性 ， 就 像 一 个 目录 下 不 可 能 有 两 个 同名 的 文件 一 样 。 但 在 不 
同 的 域 下 ， 主 机 名 是 可 以 重复 的 。 

在 Windows 中 查看 计算 机 的 完全 合格 域名 的 方法 为 ， 右 击 “我 的 电脑 ”图 标 ， 在 弹出 
的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 “系统 属性 ”对 话 框 中 选择 “计算 机 名 ”选项 
卡 ， 在 “完整 的 计算 机 名 称 ” 栏 中 显示 的 即 为 该 计算 机 的 完全 合格 域名 ， 如 图 4-37 所 示 。 

了 
全 入。 者 锌 | 高 大 | 自动 更 新 | 运程 | 
型 Tindows 使 用 以 下 信息 在 网 络 中 标识 这 台 计 算 机 。 


要 重新 全 名 此 计算 机 可 加 入 域 , 音 击 “更 Mw 。 更 [CD) 、 


图 4-37 “计算 机 名 ”选项 卡 
4.2.1.1 DNS 的 工作 原理 


DNS 是 Internet 上 非常 重要 的 服务 ， 因 为 现在 人 们 在 使 用 Internet 时 ， 几 乎 都 在 使 用 完 
全 合格 域名 而 非 全 地 址 访问 资源 。 可 以 说 , 人 们 在 访问 Internet 资源 的 过 程 中 始终 需要 DNS 
服务 帮助 将 目标 计算 机 名 转换 成 人 P 地 址 ， 一 旦 DNS 服务 出 现 故 障 ， 将 会 导致 Internet 的 
瘫痪 。 

为 了 向 用 户 提供 完全 合格 域名 的 解析 ， 需 要 在 网 络 中 安装 和 配置 DNS 服务 器 ， 并 且 将 
用 户 的 计算 机 配置 成 某 台 或 几 台 DNS 服务 器 的 客户 机 。DNS 客户 机 向 DNS 服务 器 提出 查 
询 请 求 ，DNS 服务 器 对 请 求 做 出 相应 的 应 答 。 

DNS 查询 以 各 种 不 同 的 方式 进行 解析 。 客 户 机 有 时 可 从 以 前 查询 获得 的 缓存 中 得 到 查 
询 结果 。DNS 服务 器 可 以 使 用 其 自身 缓存 来 应 答 查询 ， 也 可 以 通过 查询 或 联系 其 他 DNS 
服务 器 来 解析 客户 机 的 查询 ， 并 将 应 答 返回 给 客户 机 ， 这 个 过 程 称 为 递归 。 此 外 ， 客 户 机 
本 身 也 可 尝试 联系 其 他 DNS 服务 器 来 解析 名 称 ， 这 个 过 程 称 作 迭 代 。 

总 之 ，DNS 查询 过 程 按 以 下 两 部 分 进行 。 

(1) 查询 传送 至 解析 器 进行 解析 ， 如 果 能 在 本 地 解析 则 返回 结果 。 

(2) 如 果 不 能 在 本 地 解析 ， 则 查询 DNS 服务 器 来 解析 名 称 。 

下 面 详细 解释 这 两 个 过 程 。 
图 4-38 显示 了 完整 的 DNS 查询 过 程 。 
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区 域 “ 根 提示 文件 
加 本 (cache. dns)， 
1 DNS Bb 1 
os 有 ， 其他 DNS 服务 
加 “HH ， - - 因 
Web 浏 览 器 “| 一 一 i 
www.example.com|—— i | 而 
A {名 N DNS 服务 器 ， 胃 | 
EGGO 及， 
HOST 文件 ， 1 加 
DNS 客户 机 (解析 器 ) 客户 机 到 服务 器 查询 ! 服 务 器 到 服务 器 查询 (递归 ) 


图 4-38 完整 的 DNS 查询 过 程 


本 地 解析 的 过 程 如 图 4-38 所 示 中 的 Q1 和 Al 两 过 程 所 示 。 假 如 用 户 在 浏览 器 地 址 栏 中 
输入 www.example.com， 浏 览 器 则 会 在 与 该 地 址 所 对 应 的 主机 通信 前 先 向 解析 器 查询 该 主 
机 的 人 P 地 址 。 查 询 请 求 Q1 传送 至 解析 器 ， 解 析 器 检查 本 地 缓存 看 能 否 进行 就 地 解析 。 如 
果 在 缓存 中 找到 相应 的 结果 ， 则 将 结果 发 送 给 浏览 器 (A1)， 本 次 查询 结束 。 本 地 解析 缓存 中 
的 名 称 信息 可 能 有 以 下 两 个 来 源 。 

(1) hosts 文件 。 如 果 该 文件 存在 ， 则 其 中 的 任何 主机 名 称 到 IP 地 址 的 映射 在 DNS 客 
户 服务 启动 时 会 预先 加 载 到 缓存 中 。 

(2) 将 在 以 前 的 DNS 查询 应 答 响应 中 获取 的 记录 存储 在 本 地 DNS 缓存 中 并 保留 一 段 
时 间 。 

如 果 在 缓存 中 找 不 到 匹配 的 信息 ， 则 解析 过 程 继续 进行 ， 客 户 机 将 通过 查询 DNS 服务 
器 来 解析 名 称 。 

如 图 4-38 所 示 ， 客 户 机 将 查询 主 DNS 服务 器 (Q2)。 当 DNS 服务 器 收 到 查询 时 ， 首 先 
检查 它 的 本 地 配置 区 域 中 有 没有 与 查询 匹配 的 信息 (Q3)。 如 果 有 ， 则 服务 器 做 出 应 答 A3， 
并 且 使 用 该 信息 来 解析 查询 的 名 称 (A2)。 如 果 没 有 , 服务 器 则 检查 它 能 否 通 过 其 缓存 的 先前 
查询 信息 来 解析 名 称 (Q4)。 如 果 从 中 发 现 匹 配 的 信息 (A4)， 服 务 器 将 向 客户 机 返回 该 信息 
(A2)， 查 询 完成 。 

如 果 通 过 上 述 步 骤 均 未 能 找到 匹配 的 信息 ， 则 查询 过 程 继 续 进行 。 主 DNS 服务 器 将 使 
用 递归 过 程 来 从 其 他 DNS 服务 器 上 获得 信息 ， 帮 助 其 解析 名 称 。 在 大 多 数 情况 下 ，DNS 服 
务 器 的 默认 配置 支持 递归 过 程 ， 整 个 过 程 如 图 4-39 所 示 。 

其 他 DNS 服务 器 
四 DNS 服务 器 


2 
主 DNS 服 务 器 3 


ge | com 
Cn 二 “局 “| DNS 服务 器 
“> “10 5 
DNS 客 户 机 example.com 
= “| DNS 服务 器 
8 ||9 LI hello.example.com 
EE DNS 服 务 器 


4-39 DNS 服务 器 的 递归 查询 过 程 
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如 图 4-39 所 示 ， 假 设 客户 机 要 查询 的 主机 地 址 是 hosthello.example.com。 首 先 ， 主 服 
务 器 分 析 全 名 并 确定 对 顶级 域 com 具有 绝对 控制 权 的 DNS 服务 器 的 人 P 地 址 。 随 后 ， 对 该 
服务 器 进行 查询 ， 以 获取 example.com 子 域 DNS 服务 器 的 地 址 。 接 着 再 对 example.com 
子 域 的 DNS 服务 器 进行 查询 ， 以 获取 hello.example.comDNS 服务 器 的 地 址 。 最 后 ， 与 
hello.example.com 子 域 的 DNS 服务 器 联系 上 。 该 服务 器 从 其 配置 区 域 中 查询 到 主机 
host.hello.example.com 所 对 应 的 他 地址 ， 并 将 结果 返回 给 主 DNS 服务 器 ， 主 服务 器 再 将 此 
应 答 转发 给 客户 机 ， 这 样 整个 递归 查询 过 程 就 完成 了 。 

如 果 客户 机 使 用 迭代 过 程 , 则 主 DNS 服务 器 就 不 需要 像 在 递归 方式 下 做 那么 多 的 工作 ， 
只 需 向 客户 机 返回 一 个 参考 答复 ， 其 中 包含 有 利于 客户 机 解析 请 求 的 信息 (如 根 提示 信息 
等 )， 而 不 再 进行 其 他 操作 ; 客户 机 根据 DNS 服务 器 返回 的 参考 信息 再 决定 处 理 方式 。 但 是 
在 实际 网 络 环境 中 ， 禁 用 DNS 服务 器 的 递归 查询 往往 会 让 DNS 服务 器 对 无 法 进行 本 地 解 
析 的 客户 端 请 求 返 回 一 个 服务 器 失败 的 参考 答复 ， 此 时 ， 客 户 机 则 会 认为 解析 失败 。 

递归 方式 和 从 代 方 式 的 不 同 之 处 就 是 当 DNS 服务 器 没有 在 本 地 完成 客户 机 的 解析 请 求 
时 ， 由 谁 扮演 DNS 客户 机 的 角色 向 其 他 DNS 服务 器 发 起 解析 请 求 。 通 常情 况 下 应 使 用 递 
归 方 式 ， 这 样 有 利于 网 络 管理 和 安全 性 控制 。 只 是 递归 方式 比 迭 代 方 式 更 消耗 DNS 服务 器 
的 性 能 ， 不 过 在 通常 的 情况 下 ， 这 点 性 能 的 消耗 无 关 紧 要 。 

4.2.1.2 安装 DNS 服务 器 和 客户 机 

1. DNS 服务 器 的 安装 


Windows Server 2008 R2 系统 内 置 了 DNS 服务 组 件 ， 但 默认 情况 下 并 没有 安装 ， 需 要 

管理 员 手 动 安装 并 配置 ， 从 而 为 网 络 提供 域名 解析 服务 。 
一 台 运行 Windows Server 2008 R2 的 计算 机 上 安装 DNS 服务 器 的 操作 步 又 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”命令 ， 在 打开 的 窗 
口中 单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 

(2) 在 “服务 器 角色 ”列表 框 中 勾 选 “DNS 服务 器 ” 复 选 框 ， 并 单 击 “ 下 一 步 ” 按 钮 。 
按照 向 导 提 示 ， 执 行 至 确认 界面 ， 单 击 “ 安 装 ” 按 钮 ， 完 成 DNS 服务 器 的 安装 。 

2. 设置 DNS 服务 器 


安装 完 DNS 服务 器 后 ， 需 要 对 其 进行 设置 ， 这 样 DNS 服务 器 才能 为 客户 机 提供 服务 。 
用 于 配置 和 管理 Windows Server 2008 R2 DNS 服务 器 的 主要 工具 是 DNS 控制 台 dnsmgmt。 

从 “管理 工具 ”窗口 中 单 击 DNS， 可 以 看 出 DNS 控制 台 已 默认 将 本 地 服务 器 列 在 控制 
台 左 侧 的 树 中 。 

假设 局 域 网 的 域名 为 example.com， 其 中 有 一 台 主 机 作为 WWW 服务 器 ，IP 地 址 为 
192.168.1.30， 按 照 惯 例 将 这 台 主 机 命名 为 www.example.com。 下面 介绍 如 何在 DNS 服务 器 
中 实现 对 该 主机 名 称 的 解析 ， 步 又 如 下 。 

(1) 首先 在 DNS 服务 器 中 新 建 一 个 名 为 example.com 的 区 域 。 右 键 单 击 控制 台 目 录 树 
中 的 EX-WIN2008SVR 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “配置 DNS 服务 器 ”命令 ,打开 
“配置 DNS 服务 器 向 导 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 。 

(2) 在 “选择 配置 操作 ”对 话 框 中 ， 为 了 讲解 DNS 服务 器 的 配置 ， 选 择 “创建 正 向 和 
反 向 查找 区 域 ”， 单 击 “ 下 一 步 ”按钮 。 
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提示 : 正 向 查找 区 域 用 于 进行 DNS 正 向 查询 ， 即 允许 客户 端 通过 已 知 的 主机 名 ， 查 找 
其 所 对 应 的 IP 地 址 ; 反 向 查找 区 域 用 于 进行 DNS 反 向 查询 ， 即 允许 客户 端 使 用 已 知 的 了 
地 址 ， 查 找 其 所 对 应 的 计算 机 名 。 

(3) 在 “新 建 区 域 向 导 ” 对 话 框 中 ， 由 于 此 时 配置 的 是 网 络 内 的 第 一 台 DNS 服务 器 ， 
所 以 选中 “创建 主要 区 域 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “区 域名 称 ” 文 本 框 中 输入 区 域 的 名 称 example.com， 如 图 4-40 所 示 ， 单 击 “ 下 
一 步 ” 按 钮 。 

(5) 在 “区 域 文件 ”向 导 页 中 ， 选 中 “创建 新 文件 ， 文 件 名 为 ” 单 选 按 钮 ， 并 使 用 系 
统 默认 的 文件 名 example.com.dns， 单 击 “ 下 一 步 ”按钮 ， 如 图 4-41 所 示 。 


加 到 
区 域名 称 区 域 文件 全 
新 区 域 的 名 称 是 什么 ? 次 可 以 自 娃 一 个 挛 区 域 文件 入 使 用 从 另 一 个 DIE 服务 器 复制 的 文件 ， 
hs 和 了 间 基 分 ， 洒 总 册 此 和香。 这 人 人 人 妇 一 人 区 二 ， 还 量 人骨 一 个 人 另 一个 DIE 服务 
二 只 
f° 
区 域名 称 包 ); ro | 
[EX 个 使 用 此 现存 文件 叫 ; 
一 
Et 
有 头 区 万 名 称 的 详细 信息 ， 请 单 击 “帮助 ”， 
| 到 | mm | _ 动 | 
4-40 ”输入 区 域名 称 4-41 创建 新 的 区 域 文件 


(6) 在 “动态 更 新 ”向 导 页 中 ， 选 中 “不 允许 动态 更 新 ” 单 选 按钮 ， 如 果 服 务 器 已 安 
装 了 Active Directory， 也 可 以 选中 “只 人 允许 安全 的 动态 更 新 ” 单 选 按钮 ， 以 便 最 大 限度 地 
集成 和 支持 Active Directory 以 及 增强 的 DNS 服务 器 功能 。 单 击 “ 下 一 步 ”按钮 ， 如 图 4-42 
所 示 。 

(7) 接 下 来 配置 反 向 区 域 ， 在 “ 反 向 查找 区 域 ” 向 导 页 中 ， 选 中 “是 ， 现 在 创建 反 向 
查找 区 域 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 在 接 下 来 的 “区 域 类 型 ”向 导 页 中 ， 依 旧 选 
中 “主要 区 域 ” 单 选 按钮 ， 再 单 击 “下 一 步 ” 按 钮 。 

(8) 在 “ 反 向 查找 区 域名 称 ”向 导 页 中 ， 选 中 “网 络 ID ” 单 选 按钮 ， 并 在 下 面 输入 本 
网 络 的 网 络 D， 如 192.168.1， 如 图 4-43 所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 
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(9) 在 接 下 来 的 “区 域 文件 ”和 “动态 更 新 ”两 个 页 面 中 ， 分 别 选中 “创建 新 文件 ， 
文件 名 为 ”和 “不 允许 动态 更 新 ” 单 选 按钮 ， 文 件 名 按照 系统 默认 给 出 。 

(10) 在 “转发 器 ”页 面 中 ， 暂 时 选中 “和 否 ， 不 向 前 转发 查询 ” 单 选 按钮 。 转 发 器 的 具 
体 用 途 和 配置 方法 后 面 会 做 进一步 介绍 。 单 击 “ 下 一 步 ” 按 钮 ， 如 果 配 置 顺利 ， 会 弹出 一 
个 对 话 框 ， 提 示 已 成 功 地 完成 了 DNS 服务 器 配置 向 导 ， 单 击 “确定 ”按钮 关闭 对 话 框 。 

DNS 服务 器 配置 完成 后 ， 在 控制 台 的 目录 树 中 可 以 看 到 ， 服 务 器 节点 下 建立 了 “ 正 向 
查找 区 域 ” 和 “ 反 向 查找 区 域 ”。 双 击 展开 “ 正 向 查找 区 域 ”， 会 看 到 新 区 域 example.com 
已 经 添加 。 单 击 example.com， 右 半 窗 口中 会 显示 该 区 域 的 配置 信息 。 

3. 创建 域名 


下 面 介绍 如 何 建立 主机 www.example.com， 其 操作 步骤 如 下 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 DNS 命令 ， 打 开 dnsmagt 控制 台 窗 口 。 

(2) 在 左 窗 格 中 依次 展开 ServerName 一 “ 正 向 查找 区 域 ” 目 录 ， 然 后 用 鼠标 右 击 区 域 
名 处 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 主机 ”命令 ， 弹 出 如 图 4-44 所 示 的 对 话 框 ， 输 入 主 
机 名 www， 卫 地址 192.168.1.30。 

(3) 如 果 希 望 DNS 服务 器 也 能 够 进行 反 向 查询 ， 则 选中 “创建 相关 的 指针 (PTR) 记 录 ” 
复 选 框 ， 单 击 “ 添 加 主机 ”按钮 。 如 果 添 加 成 功 ， 系 统 会 提示 “成 功 地 创建 了 主机 记录 
example.com。”， 如 图 4-45 所 示 ， 单 击 “确定 ”按钮 。 
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图 4-44 “新 建 主机 ”对 话 框 图 4-45 主机 记录 创建 成 功 


(4) 如 果 不 再 添加 主机 ， 单 击 “ 完 成 ”按钮 。 

4. 安装 客户 端 

安装 DNS 客户 机 的 步骤 如 下 。 

(1) 在 “控制 面板 ”对 话 框 中 单 击 “ 网 络 和 Intemet 连接 ”图 标 ， 打 开 “ 网 络 和 Internet 
连接 ”窗口 。 

(2) 在 “网 络 和 Internet 连接 ”窗口 中 ， 单 击 “ 网 络 连 接 ” 图 标 ， 打 开 “ 网 络 连 接 ” 
窗口 。 
(3) 右 击 “ 本 地 连接 ”图 标 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 “本 
地 连接 属性 ”对 话 框 中 选中 “Internet 协议 (TCP/IP)” 复 选 框 ， 单 击 “ 属 性 ”按钮 ， 打 开 如 


图 4-46 所 示 的 对 话 框 。 
(4) 在 图 4- 


4-46 的 “首选 DNS 服务 器 ”文本 框 中 输入 一 台 DNS 服务 器 的 他 地址， 然后 
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单 击 “ 确 定 ” 按 钮 ， 这 样 便 把 该 计算 机 配置 为 那 台 DNS 服务 器 的 DNS 客户 机 了 


Internet 协议 (ICP/IP) 属性 
第 规 “备用 配置 
加 果 网 络 ; 
您 主要 从 | 


此 功能 ， 则 可 以 区 取 自 动 指派 的 设置 。 否则， 
系 纺 管理 员 处 获得 适当 的 IP 
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图 4-46 “Internet 协议 (TCPIIP) 属 性 ”对 话 框 
4.2.2 ”典型 例题 分 析 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 3， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2017 
半年 下 午 试题 三 ) 
【说 明 】 


年 上 


请 根据 Windows 服务 器 的 安装 与 配置 ， 回 答 下 列 问 题 
【问题 1】( 共 8 分 ) 
图 4-47 是 安装 好 的 服务 器 管理 器 界面 ， 在 当前 配置 下 ， A 
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图 4-47 “服务 器 管理 器 ”界面 
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图 示 中 角色 服务 配置 时 ， 建 立 域 控制 器 DC(Domain Controller), 需要 通过 命令 行 方式 运 
行 _(2) 命令 ; 域 中 的 DC 和 DNS 配置 在 同一 设备 时 ， 需 要 将 独立 服务 器 的 首 个 DNS 与 
DC 的 下 地址 配置 为 _G) _; DHCP 服务 加 入 DC 需要 (4) ， 否 则 服务 报错 。 
(2) 备 选 答案 : 
A. dcomcnfg B. dcpromo 
【问题 2】( 共 6 分 ) 
图 4-48 是 hosts 文件 内 容 ， 图 4-49 是 配置 安全 站 点 https://webtest.com 的 界面 。 


本 hosts -记事 
ETRE 
This is a sanple HOSTS File used by Mierosoft TCP/IP for Nindons. 


8 This file containe the mappinas of 1P addresses to host nares. Each 
和 entry should be kept on an individual line, The IP address should 


# The IP address and the host nare should be separated by at least me 
ace. 


风 
A Additional ly, comments (such as these) may 
# lines or following the machine nane denoted by 


Vi 

Wh 102. 54.94.97 rhino, acme, com source scryer 
同 38. 25. 63. 10 ne com x client host 
A localhost name resolution is handled within DNS itself 
127.0.0,1 localhost 


ocalbost 


127. 0, 0, 1 webtest, com 


图 4-48 hosts 文 件 4-49 配置 安全 站 点 


图 4-48 中 ，127.0.0.1webtest.com 的 含义 是 _(5) _。 在 建立 安全 站 点 时 ， 需 要 在 Web 
服务 器 上 启用 _(6)_ 功 能 ， 并 且 绑 定 创建 好 的 证 书 。 
(0) 备 选 答案 : 
A. SSL B. 代理 
若 将 图 4-49 中 https 的 端口 号 改 为 8000， 访 问 站 点 的 URL 是 _(7)_。 
【问题 3】( 共 6 分 ) 
图 4-50 是 通过 设备 管理 器 查看 到 的 信息 ， 为 安装 驱动 程序 的 设备 提供 _(8)_ 功 能 。 
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在 “驱动 程序 ”选项 卡 中 会 显示 驱动 程序 提供 商 、 驱 动 程序 日 期 、 驱 动 程序 版 本 和 _(9) _ 
信息 。 
若 更 新 驱动 程序 后 无 法 正常 运行 , 可 以 在 该 选项 卡 页 面 通 过 (10) 操作 将 以 前 的 驱动 
程序 恢复 。 
(9) 备 选 答案 : 
A. 数字 签名 B. 硬件 类 型 
答案 : 
【问题 1】 
(1) con-oso.com (2) B (3) 一 样 ”(4) 授权 
【问题 2】 
(5) 在 主机 hosts 表 中 建立 webtest.com 和 127.0.0.1 的 对 应 关系 ” (6) A 
(7) https://webtest.com:8000 
【问题 3】 
(8) 更 新 驱动 程序 ”(9) A (10) 回 退 驱动 程序 
解析 : 
【问题 1】con-oso.com 域 林 中 第 一 个 域 树 的 名 字 就 是 根 域 的 名 字 ; dcomcnfig 命令 用 于 
开局 “组 件 服务 ”配置 ; dcpromo 用 于 将 服务 器 提升 为 域 控制 器 ， 或 者 将 域 控制 器 降级 为 成 
员 服务 器 ，depromo 是 Windows 做 域 控 制 器 的 开关 命令 ; 根据 题 意 ，DNS 和 DC 的 了 需要 
建立 一 种 对 应 关系 ; 加 入 DC 控制 域 必须 要 授权 。 
【问题 2】 访 问 webtestcom， 解 析出 IP 为 127.0.0.1 相当 于 DNS 的 映射 ， 当 主机 访问 
这 个 域名 时 会 先 到 本 机 host 文 件 找到 这 条 记录 解析 成 127.0.0.1; 安全 站 点 SSL 是 TCP 和 应 
用 层 的 安全 协议 通过 数字 证 书 加 密 建立 安全 站 点 绑 定 创建 好 的 证 书 ，SSL 可 以 对 万 维 网 客 
户 与 服务 器 之 间 传 送 的 数据 进行 加 密 和 鉴别 。 在 双方 握手 阶段 ， 对 将 要 使 用 的 加 密 算 法 和 
双方 共享 的 会 话 密 钥 进行 协商 ， 完 成 客户 与 服务 器 之 间 的 鉴别 。 在 握手 完成 后 ， 所 传送 的 
数据 都 使 用 会 话 密 钥 进行 传输 ， 以 保证 站 点 的 安全 性 ; 默认 的 端口 443 是 可 以 直接 访问 的 ， 
如 果 需 要 修改 端口 号 访问 ， 方 法 是 域名 后 边 加 “: ”端口 号。 
【问题 3】 设 备 管理 器 是 一 种 管理 工具 ， 可 用 它 来 管理 计算 机 上 的 设备 。 可 以 使 用 “ 设 
备 管理 器 ”查看 和 更 改 设备 属性 、 更 新 设备 驱动 程序 、 配 置 设备 设置 和 由 载 设备 。 在 “了 驱 
动 程序 ”选项 卡 中 会 显示 驱动 程序 提供 商 、 了 驱动 程序 日 期 、 驱 动 程序 版 本 和 数字 签名 信息 ， 
打开 窗口 即 可 看 到 ; 通过 回 滚 驱 动 程序 ， 可 以 回 到 原来 的 驱动 版 本 上 。 


4.2.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 5， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 网 络 拓扑 结构 如 图 4-51 所 示 。 
【问题 1】(4 分 ) 

网 络 A 的 WWW 服务 器 上 建立 了 一 个 Web 站 点 ， 对 应 的 域名 是 www.abc.edu。DNS 
服务 器 1 上 安装 了 Windows Server 2003 操作 系统 并 启用 DNS 服务 。 为 了 解析 WWW 服务 
器 的 域名 ， 在 图 4-52 所 示 的 对 话 框 中 ， 新 建 一 个 区 域 的 名 称 是 _(D_; 在 图 4-53 所 示 的 对 
话 框 中 ， 添 加 的 对 应 主机 名 称 为 -2)_。 
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4-51 网 络 拓扑 结构 图 
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图 4-52 “新 建 区 域 向 导 ” 对 话 框 


【问题 2】(3 分 ) 
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图 4-53 “新 建 主机 ”对 话 框 


在 DNS 系统 中 反 向 查询 (Reverse Query) 的 功能 是 _(3) 。 为 了 实现 网 络 A 中 WWW 服 
务 器 的 反 向 查询 , 在 图 4-54 和 图 4-55 中 进行 配置 ,其 中 网 络 ID 应 填写 为 _(4)_， 主机 名 应 


填写 为 _(5) 。 
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图 4-55 “新 建 资源 记录 ”对 话 框 
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【问题 3】(3 分 ) 
DNS 服务 器 1 负责 本 网 络 区 域 的 域名 解析 。 对 于 非 本 网 络 的 域名 ， 可 以 通过 设置 “ 转 


发 器 ”， 将 自己 无 法 解析 的 名 称 转 到 网 络 C 中 的 DNS 服务 器 2 进行 解析 。 设 置 步骤 : 首先 

在 “DNS 管理 器 ”中 选中 DNS 服务 器 ， 右 击 ， 选 择 “ 属 性 ”对 话 框 中 的 “转发 器 ”选项 卡 ， 
在 弹出 的 如 图 4-56 所 示 的 对 话 框 中 应 如 何 配置 ? 

【问题 4】(2 分 ) 

网 络 C 的 Windows Server 2003 服务 器 上 配置 了 DNS 服务 ， 在 该 服务 器 上 两 次 使 

nslookup www.sohu.com 命令 得 到 的 结果 如 图 4-57 所 示 。 由 结果 可 知 ,该 DNS 服务 器 _(6) _。 

(6) 备 选 答案 : 

A. 启用 了 循环 功能 B. 停 用 了 循环 功能 

C. 停 用 了 递归 功能 D. 启用 了 递归 功能 

| 


接口 。 转发 器 | 高 九 | 根 目录 提示 | 日 去 | 监视 | 
鞍 发 器 帮助 解析 此 服务 器 不 能 同 答 的 DIS 查询 , 


厂 启用 特 发 器 8) 
要 入 加 转发 器 ， 请 输入 其 I? 地 址 ， 烧 后 单 击 “ 添 加 ”， 


理 地 址 革 ) 
no) 


转发 超时 凤 ) @) F 


厂 不 他 用 进 归 加 


CC 本 ]]_ 对 有 用 和 
4-56 “转发 器 ”选项 卡 图 4-57 nslookup 命令 执行 结果 


【问题 5】(3 分 ) 

在 网 络 B 中 ， 除 PC5 计算 机 以 外 ， 其 他 的 计算 机 都 能 访问 网 络 A 的 WWW 服务 器 ， 
而 PC5 计算 机 与 网 络 B 内 部 的 其 他 PC 都 是 连通 的 。 分 别 在 PC5 和 PC6 上 执行 命令 ipconfig， 
结果 信息 如 图 4-58 和 图 4-59 所 示 。 

请 问 PC5 的 故障 原因 是 什么 ?如 何 解决 ? 


图 4-58 PC5 上 ipconfig 命令 执行 结果 4-59 PC6 上 ipconfig 命令 执行 结果 


4.2.4 同步 练习 参考 答案 


答案 ; 
【问题 1 


(1) abc.edu (2) www 


">> 
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【问题 2】 

(3) 通过 了 地 址 查询 域名 (4) 210.43.16 (5) www.abc.edu 

【问题 3】 

选中 “启用 转发 器 ” 复 选 框 ， 在 “了 P 地 址 ”文本 框 中 输入 “51.202.22.18”， 单 击 “ 添 
加 ”按钮 ， 然 后 单 击 “ 确 定 ” 按 钮 。 

【问题 4】 

(OA 

【问题 5】 

PC5 的 网 关 设 置 错误 。 重 新 设置 PC5 的 网 关 ， 将 其 改 为 192.168.0.3 即 可 。 


4.3 ”DHCP 服务 器 的 配置 


4.3.1 考点 辅导 


4.3.1.1 DHCP 服务 器 的 工作 原理 


动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 是 一 种 卫 标准 ， 旨 在 
通过 使 用 运行 有 DHCP 服务 的 服务 器 集中 管理 在 网 络 上 使 用 的 他 地 址 和 其 他 相关 配置 来 降 
低 系 统管 理 员 管 理 地 址 配置 的 复杂 性 。 

前 面 介绍 TCP/IP 协议 时 ， 我 们 已 经 知道 TCP/IP 网 络 上 的 每 台 计 算 机 都 必须 有 一 个 唯 
一 的 计算 机 名 和 了 P 地 址 。 如 果 在 配置 IP 地 址 时 不 小 心 将 同一 卫 地 址 分 配给 了 网 络 中 不 同 
的 计算 机 ， 系 统 会 自动 检测 出 该 错误 并 提出 警告 。 为 了 和 避免 这 种 错误 的 产生 ， 管 理 员 在 手 
工 配 置 亿 地 址 时 必须 记录 每 台 计 算 机 所 对 应 的 他 地 址 ,这 在 小 型 的 网 络 中 还 是 可 以 接受 的 ， 
但 在 拥有 几 百 台 甚至 更 多 主机 的 网 络 中 ， 管 理 员 的 工作 会 变 得 更 加 繁重 ， 也 更 容易 出 错 。 
此 外 ， 如 果 把 一 台 主 机 从 一 个 网 络 移 到 另 一 个 网 络 ， 由 于 两 个 网 络 的 地 址 配置 方案 可 能 不 
同 ， 也 要 重新 为 该 主机 配置 卫 地址。 当 这 种 移动 频繁 发 生 时 (如 笔记 本 电脑 )， 使 用 静态 人 P 
地 址 分 配方 案 同样 会 加 大 管理 员 的 工作 负担 。 而 DHCP 服务 器 能 自动 地 为 网 络 中 的 计算 机 
分 配 人 P 地 址 ， 系 统管 理 员 只 需 在 DHCP 服务 器 上 进行 正确 的 配置 ， 就 可 以 完成 整个 网 络 地 
址 的 分 配 和 配置 。 当 网 络 中 的 某 个 配置 参数 改变 时 ， 管 理 员 也 只 需 在 服务 器 端 进行 更 改 ， 
新 的 配置 就 会 应 用 到 整个 网 络 。 

DHCP 也 使 用 客户 /服务 器 模式 进行 工作 ， 通 过 配置 ，DHCP 服务 器 维护 一 个 保存 了 
TCP/P 配置 信息 的 数据 库 来 为 客户 机 进行 服务 。DHCP 数据 库 中 主要 保存 如 下 信息 。 

4 在 地 址 池 中 维护 可 分 配给 客户 机 的 瑟 地 址 以 及 用 于 手工 指派 的 保留 地 址 。 

4 ”服务 器 提供 的 人 P 地 址 租约 持续 时 间 , 租约 时 间 指 的 是 客户 机 从 服务 器 获得 他 地 址 

后 可 以 使 用 多 长 时 间 。 

”适用 于 所 有 客户 机 的 其 他 配置 选项 ， 如 可 以 为 所 有 的 客户 机 指定 默认 网 关 、DNS 

服务 器 地 址 、WINS 服务 器 地 址 等 多 种 选项 。 

DHCP 的 工作 过 程 如 下 。 


Sa 
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1.DHCPDISCOVER 


当 DHCP 客户 机 第 一 次 登录 网 络 时 ， 会 发 现 本 机 上 没有 设 定 任何 的 TCP/IP 信息 , 它 会 
向 网 络 发 出 一 个 DHCPDISCOVER 数据 包 。 因 为 客户 机 还 不 知道 自己 属于 哪 一 个 网 络 ， 所 
以 数据 包 的 来 源 地 址 会 为 0.0.0.0， 而 目的 地 址 则 为 255.255.255.255， 然 后 再 附 上 
DHCPDISCOVER 的 信息 ， 向 网 络 进行 广播 ， 以 便 寻 找 能 够 为 其 分 配 全 地址 的 DHCP 服务 
器 。 网 络 上 每 一 台 安装 了 TCP/IP 协议 的 主机 都 会 接收 到 这 种 广播 信息 , 但 只 有 DHCP 服务 
器 才 会 做 出 响应 。 

提示 : DHCPDISCOVER 的 等 待 时 间 预 设 为 1 秒 ， 也 就 是 当 客户 机 将 第 一 个 
DHCPDISCOVER 数据 包 发 送出 去 后 ， 在 1 秒 之 内 没有 得 到 响应 的 话 就 会 进行 第 二 次 
DHCPDISCOVER 广播 。 在 得 不 到 响应 的 情况 下 客户 机 一 共 会 进行 四 次 DHCPDISCOVER 
广播 (包括 第 一 次 在 内 )。 除 了 第 一 次 会 等 待 1 秒 之 外 ， 其 余 三 次 的 等 待 时 间 分 别 是 9、13、 
16 秒 。 如 果 都 没有 得 到 DHCP 服务 器 的 响应 ， 客 户 机 则 会 显示 错误 信息 宣告 
DHCPDISCOVER 的 失败 ， 此 时 Windows 会 为 自己 临时 分 配 一 个 位 于 169.254.0.1 一 
169.254.255.254 的 IP 地 址 ( 子 网 掩 码 为 255.255.0.0)。 此 后 ， 系 统 仍 会 每 隔 5 分 钟 再 重新 发 
送 一 次 DHCPDISCOVER 数据 包 , 尝试 与 DHCP 服务 器 联系 。 若 联系 成 功 , 则 使 用 由 DHCP 
服务 器 提供 的 TCP/IP 信息 来 更 新 自己 的 配置 。 


2. DHCPOFFER 


当 网 络 中 的 DHCP 服务 器 收 到 客户 机 的 DHCPDISCOVER 数据 包 后 ， 会 在 自己 预先 设 
定 的 可 供 分 配 的 IP 地 址 范围 内 选择 一 个 尚未 分 配 且 最 前 面 的 IP 地 址 ， 并 连同 其 他 TCP/IP 
设 定 ， 通 过 发 送 DHCPOFFER 广播 数据 包 ， 对 DHCP 客户 机 的 请 求 做 出 响应 。 如 果 网 络 中 
有 多 台 DHCP 服务 器 ， 那 么 它们 都 会 发 送 DHCPOFFER 数据 包 对 DHCP 客户 机 做 出 响应 ， 
DHCP 客户 机 会 从 中 选择 其 收 到 的 第 一 个 DHCPOFFER 信息 。 


3. DHCPREQUEST 


当 DHCP 客户 机 选择 了 第 一 个 接收 到 的 DHCPOFFER 数据 包 后 ， 将 发 送 一 个 
DHCPREQUEST 广播 数据 包 , 告诉 所 有 DHCP 服务 器 它 将 指定 接受 哪 一 台 服务 器 提供 的 卫 
地 址 。 之 所 以 要 以 广播 方式 回答 ， 是 为 了 通知 所 有 的 DHCP 服务 器 ， 它 将 选择 某 台 DHCP 
服务 器 所 提供 的 他 地址 。 同 时， 客户 机 还 会 向 网 络 发 送 一 个 ARP 数据 包 ， 查询 网 络 上 面 有 
没有 其 他 机 器 使 用 该 卫 地 址 ;如 果 发 现 该 人 P 已 经 被 占用 ， 客 户 机 则 会 发 出 一 个 
DHCPDECLINE 数据 包 给 DHCP 服务 器 ， 拒 绝 接受 其 DHCPOFFER ， 并 重新 发 送 
DHCPDISCOVER 信息 。 


4. DHCPACK 


当 DHCP 服务 器 收 到 DHCP 客户 机 回答 的 DHCPREQUEST 请 求 信息 之 后 , 便 向 DHCP 
客户 机 发 送 一 个 包含 它 所 提供 的 他 地址 和 其 他 设置 ( 子 网 掩 码 、 默 认 网 关 、DNS 服务 器 地 
址 等 ) 的 DHCPACK 确认 信息 , 告诉 DHCP 客户 机 可 以 使 用 它 所 提供 的 下 地址 。 然 后 DHCP 
客户 机 便 将 其 TCP/IP 协议 与 网 卡 绑 定 。 另 外 ， 除 DHCP 客户 机 选中 的 服务 器 外 ， 其 他 的 
DHCP 服务 器 都 将 收回 曾 提 供 的 下 地址。 

DHCP 客户 机 获得 的 IP 地 址 是 有 使 用 期 限 的 ， 这 个 使 用 期 限 由 提供 IP 地 址 的 DHCP 
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服务 器 设 定 。 默 认 情况 下 ， 在 Windows Server 2003 中 ， 这 个 期 限 为 8 天。 为 了 延长 全 地 址 
的 使 用 期 限 ，DHCP 客户 机 需要 更 新 卫 地 址 租约 。 更 新 的 方法 有 两 种 : 自动 更 新 和 手工 
更 新 。 
1) ”自动 更 新 
在 以 下 几 种 情况 下 ，DHCP 客户 机 会 自动 向 DHCP 服务 器 更 新 卫 地 址 租约 。 
4 当 DHCP 客户 机 租用 的 瑟 地 址 期 限 过 一 半 时 ， 客 户 机 会 自动 向 为 其 提供 人 P 地 址 
的 DHCP 服务 器 发 送 DHCPREQUEST 广播 数据 包 ， 以 便 要 求 继 续 租用 原来 的 人 P 
了 地址。 如 果 续 租 成 功 ， 则 新 租约 代 蔡 原 租 约 ， 如果 续 租 失 败 ， 则 继续 使 用 原来 的 
卫 地 址 。 
4 如 果 卫 地 址 租约 期 限 过 一 半 时 ， 续 租 没 有 成 功 ， 则 在 剩 下 的 租约 期 限 再 过 一 半 的 
上 对 候 ，DHCP 客户 机 会 自动 发 送 DHCPDISCOVER 广播 数据 包 ， 向 网 络 中 的 任何 
一 台 DHCP 服务 器 请 求 获得 一 个 新 的 下 地址 租约 。 
4 ”每 当 DHCP 客户 机 重新 启动 时 , 也 会 自动 向 为 其 提供 耳 地 址 的 DHCP 服务 器 发 送 
DHCPREQUEST 广播 数据 包 ， 要 求 继续 租用 瑟 地 址 。 
2) ”手工 更 新 
用 户 可 在 DHCP 客户 机 上 使 用 ipconfig /renew 命令 手工 对 人 P 地 址 租约 进行 更 新 ， 另 外 
也 可 以 随时 释放 已 有 的 他 地 址 租约 ， 操 作 命令 为 ipconfig /release。 


4.3.1.2 安装 DHCP 服务 器 和 客户 机 
1. 安装 DHCP 服务 器 


Windows Server 2008 R2 系统 内 置 了 DHCP 服务 组 件 , 但 默认 情况 下 并 没有 安装 , 需要 
管理 员 手动 安装 并 配置 ， 从 而 为 网 络 提供 DHCP 服务 。 将 一 台 运行 Windows Server 2008 R2 
的 计算 机 配置 成 DHCP 服务 器 , 最 简单 的 方法 是 使 用 服务 器 管理 器 添加 DHCP 服务 器 角色 ， 
其 过 程 如 下 。 

(1) 通过 “开始 ”菜单 打开 “服务 器 管理 器 ”窗口 ， 选 择 左 侧 的 “角色 ”节点 ， 单 击 
“添加 角色 ” 超 链 接 ， 启 动 添加 角色 向 导 。 

(2) “开始 之 前 ”向 导 页 中 提示 了 此 向 导 可 以 完成 的 工作 ， 以 及 操作 之 前 应 注意 的 相 
关 事 项 ， 单 击 “ 下 一 步 ”按钮 继续 。 

(3) “选择 服务 器 角色 ”向 导 页 中 显示 了 所 有 可 以 安装 的 服务 器 角色 。 如 果 角 色 前 面 
的 复 选 框 没有 被 选中 ， 则 表示 该 网 络 服务 尚未 安装 。 如 果 已 选中 ， 则 说 明 该 服务 已 经 安装 。 
这 里 选中 “DHCP 服务 器 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 继续 。 

(4) “DHCP 服务 器 ”向 导 页 中 对 DHCP 服务 器 的 功能 作 了 简要 介绍 ， 单 击 “ 下 一 步 ” 
按钮 继续 。 

(5) 在 “选择 网 络 连接 绑 定 ”向 导 页 中 选择 此 DHCP 服务 器 将 用 于 向 客户 端 提 供 服务 
的 网 络 连接 ， 单 击 “ 下 一 步 ” 按 钮 继续 ， 如 图 4-60 所 示 。 

(6) 在 “指定 IPv4 DNS 服务 器 设置 ”向 导 页 中 指定 客户 用 于 名 称 解 析 的 父 域名 ， 以 及 
客户 端 用 于 域名 解析 的 DNS 服务 器 人 P 地 址 ， 单 击 “ 下 一 步 ” 按 钮 继续 ， 如 图 4-61 所 示 。 

(7) 在 “指定 IPv4 WINS 服务 器 设置 ”向 导 页 中 选择 是 否 使 用 WINS 服务 ， 单 击 “ 下 
一 步 ” 按 钮 继续 ， 如 图 4-62 所 示 。 

(8) 在 “添加 或 编辑 DHCP 作用 域 ”向 导 页 中 可 以 添加 DHCP 作用 域 。 只 有 指定 了 作 
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用 域 ， DHCP 服务 器 才能 向 客户 端 分 配 人 P 地 址 、 子 网 掩 码 和 默认 网 关 等 。 现 在 可 以 不 指定 ， 
等 DHCP 安装 完成 后 再 添加 。 若 现在 指定 ， 可 单 击 “ 添 加 ”按钮 ， 如 图 4-63 所 示 。 


划 到 
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图 4-62 指定 IPv4 WINS 服务 器 设置 4-63 ”添加 或 编辑 DHCP 作用 域 
(9) 在 “添加 作用 域 ” 对 话 框 中 设置 作用 域 的 名 称 、 起 始 耳 地 址 、 结 束 瑟 地址 、 子 网 


掩 码 、 默 认 网 关 以 及 子 网 类 型 。 若 选中 “激活 此 作用 域 ” 复 选 框 ， 则 创建 完成 后 会 自动 激 
活 ， 如 图 4-64 所 示 。 设 置 完 成 后 ， 单 击 “ 确 定 ” 按 钮 ， 返 回 上 一 步 操作 后 单 击 “ 下 一 步 ” 
按钮 继续 。 

(10) 在 “配置 DHCPv6 无 状态 模式 ”向 导 页 中 选择 启用 还 是 禁用 服务 器 的 DHCPv6 无 
状态 模式 。 选 中 “对 此 服务 器 禁用 DHCPv6 无 状态 模式 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 
继续 ， 如 图 4-65 所 示 。 

(11) 若 DHCP 服务 器 已 加 入 了 域 ， 还 会 打开 “授权 DHCP 服务 器 ”向 导 页 ， 若 没有 加 
入 域 ， 则 不 会 出 现 此 向 导 页 。 为 DHCP 服务 器 授权 必须 具有 域 管理 员 的 权限 ， 若 当前 没有 
以 域 管理 员 身 份 登录 到 域 ， 则 选中 “使 用 备用 凭据 ” 单 选 按钮 ， 然 后 单 击 “ 指 定 ”按钮 输 
入 域 管理 员 的 用 户 名 及 密码 。 单 击 “ 下 一 步 ”按钮 继续 ， 如 图 4-66 所 示 。 

(12) 在 “确认 安装 选择 ”向 导 页 中 ， 要 求 确认 所 要 安装 的 服务 器 角色 及 配置 情况 ， 如 
果 配 置 错误 ， 可 以 单 击 “ 上 一 步 ” 按 钮 返回 。 单 击 “ 安 装 ”按钮 即 可 开始 安装 DHCP 服务 
器 角色 ， 如 图 4-67 所 示 。 


让 
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图 4-66 授权 DHCP 服务 器 4-67 ”确认 安装 选择 


(13) “安装 进度 ”向 导 页 中 显示 了 安装 DHCP 服务 器 角色 的 进度 ， 需 耐心 等 待 。 

(14) “安装 结果 ”向 导 页 中 显示 DHCP 服务 器 角色 已 经 安装 完成 ， 提 示 用 户 可 以 使 用 
DHCP 管理 器 对 DHCP 服务 器 进行 配置 。 若 系统 未 启用 Windows 自动 更 新 ， 还 提醒 用 户 设 
置 Windows 自动 更 新 ， 以 即时 给 系统 打上 补丁 。 单 击 “完成 ”按钮 关闭 添加 角色 向 导 便 完 
成 了 DHCP 服务 器 的 安装 。 

DHCP 服务 器 安装 完毕 后 ， 可 以 通过 选择 “开始 ”一 “管理 工具 ”一 DHCP 命令 打开 
DHCP 管理 器 ， 通 过 DHCP 窗口 可 以 管理 本 地 或 远程 的 DHCP 服务 器 ， 如 图 4-68 所 示 。 


TCD -5 


ET 
日 


4-68 ”DHCP 管理 器 
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2. 安装 DHCP 客户 机 
如 果 希 望 某 台 计算 机 能 够 自动 获取 他 地 址 ， 则 需 将 这 台 计 算 机 配置 为 DHCP 客户 机 ， 
配置 方法 如 下 。 


(1) 在 “控制 面板 ”中 单 击 “ 网 络 和 Internet 连接 ”图 标 ， 打 开 “ 网 络 和 Internet 连接 ” 
窗口 


(2) 在 “网 络 和 Intemet 连接 ”窗口 中 ， 单 击 “ 网 络 连接 ”图 标 ， 打 开 “ 网 络 连接 ”窗口 。 
(3) 石 键 单 击 “ 本 地 连接 ”图 标 , 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 选中 “Internet 
协议 (TCP/IP)”， 单 击 “ 属 性 ”按钮 ， 打 开 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 。 

(4) 选中 “自动 获得 他 地址 ” 单 选 按 钮 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 这 样 便 把 该 计算 机 
配置 为 DHCP 客户 机 了 。 
4.3.1.3 设置 DHCP 服务 器 


在 安装 了 DHCP 服务 器 之 后 ,还 需要 在 DHCP 服务 器 上 建立 一 个 或 多 个 全 地 址 作用 域 。 
“IP 地 址 作用 域 ” 是 指 可 以 分 配给 DHCP 客户 机 的 他 地 址 范围 。 这 样 ， 当 DHCP 客户 机 向 
DHCP 服务 器 请 求 卫 地 址 时 , DHCP 服务 器 就 可 以 从 IP 地址 作用 域 中 选择 一 个 尚未 被 租用 
的 他 地 址 ， 将 其 分 配给 DHCP 客户 机 。 
新 建 作用 域 的 操作 步骤 如 下 。 
(1) 依次 选择 “开始 ”一 “管理 工具 ”一 DHCP 命令 ， 打 开 DHCP 管理 控制 台 。 
(2) 在 左 侧 窗 格 中 ， 右 键 单 击 服务 器 名 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 作 用 域 ” 


命令 

(3) 在 弹出 的 “新 建 作用 域 向 导 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “名 称 ” 文 本 框 中 输入 一 个 能 够 清楚 表示 该 作用 域 的 名 称 ， 如 图 4-69 所 示 。 

(5) 单 击 “下 一 步 ” 按钮 ， 打 开设 置 “IP 地 址 范围 ”的 向 导 页 。 地 址 范围 通过 设置 “起 
始 下 地 址 ”和 “结束 他 地 址 ”来 指定 。 通 过 设置 “长 度 ”， 用 户 可 以 调整 子 网 掩 码 ， 以 指 
定 下 地 址 中 多 少 位 作为 网 络 ID， 多 少 位 作为 主机 了 P， 如 图 4-70 所 示 。 

ET 


作用 域名 SS IP 地 址 范围 
您 必须 提 洪 一 个 用 于 识别 的 作用 域名 称 ， 悠 还 可 以 提供 一 个 描述 呵 选 )， Nl 川 坎 通 过 确定 一 姐 连 续 的 IF 地 址 来 定义 作用 域 地 址 范围 。 


输入 此 作用 域 分 也 的 地 址 范围 

直 IF 地 址 G)” [132.166 1 .1 

疾 贡 于 地 址 包 )s |132.168. 1 .50 

Sa A on 
长 度 QD): FE 习 

EU 255.255.255. 0 


Sim 此 信息 帮助 您 快速 标识 此 作用 域 在 网 络 上 的 作 


攻 称 罗 :。。 [wwple em 
描 术 四) 


ww [EB 了 wn | 
图 4-69 设置 作用 域名 图 4-70 设置 IP 地 址 范围 


(6) 设置 好 人 P 地 址 范围 后 , 单 击 “ 下 一 步 ”按钮 , 打开 “添加 排除 ”向 导 页 ， 如 图 4-71 
所 示 。 这 里 用 户 可 以 指定 前 面 设置 的 IP 地 址 范围 中 有 哪些 地 址 不 被 服务 器 分 配 。 如 果 想 
排除 的 全 地 址 是 分 散 的 ， 那么 在 “起 始 他 地 址 ”中 输入 要 排除 的 也 地址， 然后 单 击 “ 添 
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加 ”按钮 ， 重 复 这 一 过 程 直至 所 有 要 排除 的 他 地址 均 被 添加 。 如 果 想 排除 的 是 菜 一 段 连续 
的 他 地 址 ， 则 分 别 输入 该 范围 的 起 始 他 地 址 和 结束 他 地 址 ， 然 后 单 击 “ 添 加 ”按钮 。 

(7) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 租 约 期 限 ”向 导 页 ， 如 图 4-72 所 示 。 租 约 期 限 指 的 
是 一 个 客户 端 从 此 作用 域 使 用 他 地 址 的 时 间 长 短 。 通 常 局 域 网 使 用 的 都 是 专用 保留 全 地 址 ， 
地 址 数量 很 充裕 ， 所 以 可 以 将 租约 期 限 设置 得 较 长 。 


添加 排除 
排除 是 指 报 务 器 不 分 孔 的 地 址 或 地 址 范围 ， 


租约 期 限 
租约 期 限 指 定 了 一 个 客户 应 从 此 作用 域 使 用 IP 地 址 的 时 间 长 短 ， 


人 i 


起 始 I 地址)， ”结束 I 地 址 邓 ) tt, 位 置 固定 的 网 络 来 说 ， 设 置 较 长 的 租 
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排除 的 地 址 范围 C); 设置 服务 器 分 也 的 作用 域 租约 期限， 
a 限制 为 : 
天 加; 可; 分 名 加; 
了 mcd TE WR 
图 4-71 设置 排除 的 IP 地 址 图 4-72 “租约 期 限 ” 向 导 页 


(8) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 提示 用 户 为 该 作用 域 配置 DHCP 选项 。 通 常 只 有 正确 
配置 了 DHCP 选项 ，DHCP 客户 机 才 可 以 使 用 此 作用 域 ， 所 以 选中 “是 ， 我 想 现在 配置 这 
些 选 项 ” 单 选 按钮 。 

(9) 单 击 “ 下 一 步 ” 按 钮 ， 首 先 要 配置 的 是 默认 网 关 的 人 P 地址 。 输 入 默认 网 关 的 下 地 
址 ， 并 单 击 “ 添 加 ”按钮 。 

(10) 单 击 “ 下 一 步 ”按钮 ， 接 下 来 要 配置 的 是 域名 称 和 DNS 服务器。 在 “ 父 域 ”文本 
框 中 输入 域名 ， 并 在 “JP 地址 ”文本 框 中 输入 DNS 服务 器 的 人 P 地 址 ， 然 后 单 击 “ 添 加 ” 
按钮 ， 如 图 4-73 所 示 。 若 有 多 个 DNS 服务 器 ， 将 其 他 的 DNS 服务 器 添加 至 此 。 通 常设 置 
两 个 DNS 服务 器 即 可 ， 一 个 作为 主 DNS 服务 器 ， 另 一 个 作为 辅 DNS 服务 器 。 

(11) 单 击 “ 下 一 步 ” 按 钮 ， 设 置 WINS 服务 器 地 址 。 如 果 网 络 中 有 WINS 服务 器 
在 “全 地 址 ”文本 框 中 输入 WINS 服务 器 的 地 址 ， 然 后 单 击 “添加 ”按钮 ， 如 图 4-74 所 示 。 

i- 
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悠 可 以 指定 网 络 上 的 客户 端 计算 机 用 来 进行 DIS 名 称 解 折 时 使 用 的 艾 域 。 和 和 Winaows 客户 端 能 在 使 用 广播 注册 并 解析 Net3I0s 名 称 之 
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图 4-73 设置 域名 和 DNS 服务 器 图 4-74 设置 WINS 服务 器 
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(12) 单 击 “下 一 步 ”按钮 ， 向 导 会 提示 是 否 激活 此 作用 域 ， 选 择 “ 是 ， 我 想 现在 激活 
此 作用 域 ”。 

(13) 单 击 “ 下 一 步 ”按钮 ， 向 导 提 示 已 成 功 完成 了 新 建 作用 域 向 导 ， 单 击 “ 完 成 ” 按 
钮 关闭 向 导 。 

接 下 来 ， 系 统 会 创建 新 的 作用 域 。 创 建 完成 后 的 控制 台 如 图 4-75 所 示 。 展 开 新 建 的 作 
用 域 ,选择 “地 址 池 ” 选 项 ， 可 以 查看 当前 地 址 池 中 他 地 址 的 范围 及 被 排除 的 他 地址 。 选 
择 “ 地 址 租约 ”选项 ， 可 以 查看 当前 有 哪些 客户 端 租用 了 哪些 IP 地 址 。 选 择 “ 保 留 ”选项 ， 
可 以 查看 并 设置 将 地 址 池 中 的 某 些 瑟 地 址 永久 地 分 配给 一 些 客户 端 。 新 建 保留 地 址 的 方法 
是 右键 单 击 “ 保 留 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 保留 ”命令 ， 然 后 在 弹出 的 对 
话 框 中 输入 相应 的 信息 即 可 。 需要 注意 的 是 , 设置 保留 地 址 时 , 需要 知道 客户 端 网 卡 的 MAC 
地 址 ， 即 物理 地 址 。 网 卡 的 物理 地 址 可 通过 在 “命令 提示 符 ” 中 运行 ipconfig /all 命令 查看 。 
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图 4-75 ”DHCP 服务 器 的 地 址 池 


选择 “作用 域 选项 ”选项 ， 可 以 查看 当前 为 该 作用 域 设 置 的 选项 ， 也 就 是 前 面 新 建 作 
用 域 向 导 中 所 设置 的 路 由 器 、 域 名 、DNS 服务 器 和 WINS 服务 器 等 信息 。 这 些 是 保证 客户 
端 能 正常 访问 网 络 所 必需 的 信息 。 如 果 用 户 还 需要 为 该 作用 域 设置 其 他 的 附加 选项 ， 可 右 
键 单 击 “ 作 用 域 选项 ”， 在 弹出 的 快捷 菜单 中 选择 “配置 选项 ”命令 ， 如 图 4-76 所 示 。 打 
开 如 图 4-77 所 示 的 “作用 域 选项 ”对 话 框 ， 在 “可 用 选项 ”中 选中 要 设置 的 选项 ， 并 在 下 
面 设置 相应 的 信息 ， 然 后 单 击 “ 确 定 ” 按 钮 即 可 。 
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图 4-76 选择 “作用 域 选项 ”一 “配置 选项 ”命令 
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右 击 新 建 的 作用 域 , 在 弹出 的 快捷 菜单 中 选择 “ 属 二 
性 ”命令 ,可 以 对 作用 域 的 设置 进行 更 改 。 作 用 域 的 。 | 下 ER 
属性 对 话 框 共有 3 个 选项 卡 :“ 常 规 ”、DNS 和 “高 DD tm 
级 ”选项 卡 。 

“常规 ”选项 卡 如 图 4-78 所 示 ， 在 此 可 以 更 改作 
用 域名 、 卫 地 址 范围 和 租约 期 限 。 

DNS 选项 卡 可 以 设置 DHCP 服务 器 是 否 启用 
DNS 动态 更 新 。 启 用 DNS 动态 更 新 的 好 处 是 当 客户 
端的 下 地 址 发 生变 化 后 , DHCP 服务 器 将 会 发 送信 息 
更 新 DNS 服务 器 中 的 主机 和 指针 记录 , 以 确保 信息 的 


一 致 性 ， 
“高 级 ”选项 卡 可 以 指定 DHCP 服务 器 为 哪 种 类 FRR 
型 的 客户 端 动态 分 配 卫 地 址 ， 其 中 BOOTP 一 般 为 无 478 “常规 ” 选项 卡 


盘 工作 站 客户 端 ， 若 网 内 没有 无 盘 工 作 站 ， 选 择 “ 仅 DHCP” 选 项 即 可 。 
当 安 装 DHCP 服务 器 的 计算 机 同时 也 是 域 控制 器 时 ， 在 使 用 DHCP 服务 器 前 需 对 其 进 
行 授权 ， 这 是 因为 当 错 误 配 置 或 未 授权 的 DHCP 服务 器 被 引入 网 络 时 ， 可 能 会 引发 问题 。 
例如 ， 如 果 启 动 了 未 授权 的 DHCP 服务 器 ， 它 可 能 会 为 客户 端 租 用 不 正确 的 IP 地 址 或 者 否 
认 尝 试 续 订 当前 地 址 租约 的 DHCP 客户 端 。 这 两 种 配置 中 的 任何 一 个 都 可 能 导致 启用 
DHCP 的 客户 端 产 生 更 多 的 问题 。 例如 ,从 未 授权 的 服务 器 获取 配置 租约 的 客户 端 将 找 不 到 
有 效 的 域 控制 器 ， 从 而 导致 客户 端 无 法 成 功 登 录 到 网 络 。 为 了 避免 这 些 问 题 ， 在 客户 端 之 
前 运行 Windows Server 2008 R2 上 的 DHCP 服务 器 服务 时 ， 需 要 验证 是 否 已 在 Active 
Directory 中 对 它们 进行 了 授权 。 这 样 就 避免 了 由 于 运行 带 有 不 正确 配置 的 DHCP 服务 器 或 
者 在 错误 的 网 络 上 运行 配置 正确 的 服务 器 而 导致 的 大 多 数 意 外 破坏 。DHCP 服务 器 一 旦 在 
授权 列表 中 发 现 其 人 P 地 址 ， 便 进行 初始 化 并 开始 为 客户 端 提供 DHCP 服务 。 如 果 在 授权 列 
表 中 未 发 现 自己 的 地 址 ， 则 不 进行 初始 化 并 停止 提供 DHCP 服务 。 

授权 的 某 台 DHCP 服务 器 的 操作 方法 如 下 : 依次 选择 “开始 ”一 “管理 工具 ”一 DHCP 
命令 , 打开 DHCP 管理 控制 台 。 右键 单 击 要 授权 的 服务 器 名 , 在 弹出 的 快捷 菜单 中 选择 “ 授 
权 ” 命 令 。 授 权 过 程 需要 一 段 时 间 ， 期 间 用 户 可 以 按 F5 键 查看 状态 ， 检 查 是 否 完成 授权 。 

要 解除 某 台 已 授权 服务 器 的 授权 ， 方 法 与 授权 过 程 相 同 ， 只 是 在 弹出 的 快捷 菜单 中 选 
择 “ 撤 销 授权 ”命令 。 


4.3.2 ”典型 例题 分 析 


例 1 阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 学 校 的 图 书馆 电子 阅览 室 已 经 连接 成 为 局 域 网 (局 域 网 段 为 192.168.1.0/24/)， 
在 原 有 接 入 校园 网 的 基础 上 又 租用 了 电信 的 ADSL 宽带 接 入 来 满足 用 户 的 上 网 需求 。 其 中 ， 
校园 网 网 段 为 210.27.176.0 一 210.27.191.255, DNS 为 210.27.176.3, 子 网 按照 C 类 网 络 划分 ， 
每 个 子 网 的 网 关 都 为 210.27.XXX.1。ADSL 宽带 的 网 络 地 址 由 电信 自动 分 配 ， 具 体 网 络 结 
构 如 图 4-79 所 示 。 
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【问题 1】(6 分 ) 

如 图 4-79 所 示 , 在 该 电子 阅览 室 网 络 的 出 口 利用 了 一 台 安 装 Windows Server 2003 的 服 

务 器 实现 客户 机 既 能 访问 本 校 和 本 馆 内 的 电子 资源 ， 又 能 够 通过 ADSL 访问 外 部 资源 。 现 
计划 在 Severl 上 安装 3 块 网 卡 来 实现 这 个 功能 , 三 块 网 卡 首先 需要 在 如 图 4-80 所 示 的 对 话 
框 中 配置 卫 地 址 等 信息 。 按 照 题目 要 求 选 择 (1)~(6) 中 的 正确 选项 。 
rm 9 


个 9 得 开 地 二 
人 下 到 9 革 地 址 名; 
于 地址 四 - 

了 四 

PU 


7 是 吕 由 四 
EE 居间 四 
家 om 取 # 生 0) 


RO). 
| | 
图 4-79 网 络 拓扑 结构 图 图 4-80 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 
网 卡 1: 连接 电子 预览 室内 网 ，IP 地 址 ，192.168.1.1， 子 网 掩 码 为 255.255.255.0， 网 关 


_() ，DNS _O) 。 
网 卡 2: 连接 ADSL 电信 网 ， 卫 地 址 : _G) ，DNS _(4) 。 
网 卡 3: 连接 校园 网 ，IP 地 址 : _(5) ， 子 网 掩 码 为 255.255.255.0， 网 关 为 _(6) ，DNS 


为 210.27.176.3。 
空 (1)~~(6) 备 选 答案 : 
A. 192.168.1.1 B. 自 动 获取 C.192.168.1.2 DD. 不 指定 ， 保 持 为 空 
E. 210.27.179.2 F. 210.27.179.1 。” G.255.255.255.0 


【问题 2】(8 分 ) 
在 Severl 上 开启 路 由 和 远程 访问 服务 ， 出 现 如 图 4-81 所 示 的 窗口 ， 在 继续 配置 “网 络 
接口 ”时 ， 出 现 如 图 4-82 所 示 的 对 话 框 ， 应 该 选择 “_(7) ”， 然 后 选择 ADSL 账号 和 密码 


一- Y a 
完成 连接 建立 过 程 。 
a 加 
ERETTIETECT Pa pe 
ETE 选择 你 要 和 旭 的 请 求 呈 接 的 类 型 %) 
ey 
日 -四 MUMICH 床 地 ) EE [二 
Er EF 人 用 滑 提 朋 加 ，151I jE 和 交 吉 说 各 把 按 他 )， 
8 A i aa ce 6 
er 全 二 太 同 上 的 了 Daog) 这 报 
四 区 i 
所- 占 远 奏 访问 记录 
i 3 | 
4-81 “路 由 和 远程 访问 ”窗口 4-82 “请 求 拨号 接口 向 导 ” 对 话 框 
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为 了 使 客户 机 自动 区 分 电子 预览 室内 网 、 校 园 网 和 ADSL 电信 网 ， 还 需 新 建 一 个 批 处 
理 文件 route.bat， 并 把 路 由 功能 加 入 到 服务 器 中 ，route.bat 文件 内 容 如 下 所 示 ， 完 成 相关 
配置 。 

cd\ 

route delete _(8) ” ”// 删 除 默认 路 由 

route add _(9) mask 255.255.255.0 192.168.1.1 // 定 义 内 网 路 由 

route add (10) mask 255.255.255.0 210.27.176.1 

// 定 义 校园 网 一 个 网 段 路 由 

…/ /依次 定义 校园 网 其 他 各 网 段 路 由 

【问题 3】(2 分 ) 
因为 电子 阅览 室 的 DHCP 服务 器 老化 需要 更 换 ， 原 有 的 DHCP 服务 器 内 容 需 要 转移 到 
新 的 服务 器 设备 上 ， 这 是 采用 导入 导出 的 方式 进行 配置 的 迁移 ， 采 用 的 步骤 如 下 。 

1. 在 原 有 的 DHCP 服务 器 命令 行 模式 下 输入 “netsh dhep server export c:vdhcpbackup.txt” 
命令 ， 将 该 文件 复制 到 新 服务 器 的 相同 位 置 。 

2. 在 新 的 服务 器 上 安装 好 DHCP 服务 器 后 ， 在 命令 行 模式 下 输入 “_(LD_” 命 令 ， 即 
可 完成 DHCP 服务 器 的 迁移 。 

3. 在 迁移 操作 时 ， 一 定 要 使 用 系统 _(12) 组 的 有 效 账户 。 

【问题 4】(4 分 ) 

1. 若 电子 阅览 室 的 客户 机 访问 Web 服务 器 时 出 现 “HTTP 错误 : 401.1- 未 经 授权 : 访 
问 由 于 凭据 无 效 被 拒绝 。” 现 象 ， 则 需要 在 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ” 
一 “本 地 用 户 和 组 ”， 将 (13) 账号 启用 来 解决 此 问题 。 

2. 若 出 现 “HTTP 错误 : 401.2- 未 经 授权 : 访问 由 于 服务 器 配置 被 拒绝 。” 现 象 ， 造 成 
该 错误 的 原因 是 身份 验证 设置 的 问题 ， 一 般 应 将 其 设置 为 (14) 身份 认证 。 
空 (13)、(14) 备 选 答案 : 


A.IUSR 机 器 名 B. Administrator C. Guest D. 匿名 
答案 : 
【问题 1】 
(DD CD G)B (WB (SE (OF 
【问题 2】 


(7) 使 用 以 太 网 上 的 PPP(PPPoE) 连 接 (8) 0.0.0.0 (9)192.168.1.0 (10) 210.27.176.0 

【问题 3】 

(11) netsh dhep server import c:\dhepbackup.txt (12) 管理 员 

【问题 4】 

(3)A (DD 

解析 : 

【问题 1】 由 题 知 ， 网 卡 1 连接 电子 预览 室内 网 ， 卫 地 址 为 192.168.1.1， 子 网 掩 码 为 
255.255.255.0， 故 网 关 和 DNS 均 为 不 指定 ， 保 持 为 空 。 

网 卡 2 连 接 ADSL 电信 网 ， 因 为 ADSL 宽带 的 网 络 地 址 由 电信 自动 分 配 , 故 他 地 址 和 
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DNS 自动 分 配 。 
网 卡 3 连接 校园 网 ，IP 地 址 为 210.27.179.2， 网 关 为 210.27.179.1。 其 中 ， 校 园 网 网 段 为 
210.27.176.0~210.27.191.255, DNS 为 210.27.176.3. 由 网 络 结构 图 知 ,全 地 址 为 210.27.179.2。 
【问题 2〗 在 Severl 上 开局 路 由 和 远程 访问 服务 ， 出 现 如 图 4-81 所 示 的 窗口 ， 在 继续 
配置 “网 络 接口 ”时 ,出现 如 图 4-82 所 示 的 对 话 框 , 应 该 选择 “使 用 以 太 网 上 的 PPP(PPPoE) 
连接 ”， 然 后 选择 ADSL 账号 和 密码 完成 连接 建立 过 程 。 
route delete 0.0.0.0 为 了 删除 默认 路 由 。route add 192.168.1.0 mask 255.255.255.0 
192.168.1.1 为 了 添加 下 面 的 内 网 路 由 。 由 题 知 , 校园 网 网 段 为 210.27.176.0 一 210.27.191.255， 
DNS 为 210.27.176.3， 接 着 定义 校园 网 一 个 网 段 路 由 210.27.176.0，route add 210.27.176.0 
mask 255.255.255.0 ”210.27.176.1。 
【问题 3〗 在 Windows Server 2003 Netsh.exe 中 包含 两 个 命令 可 为 动态 主机 配置 协议 
(DHCP): 导出 和 导入 。 这 些 命令 可 用 于 有 选择 地 导出 和 导入 DHCP 作用 域 。 
1. 在 原 有 的 DHCP 服 务 器 命令 行 模式 下 输入 “netsh dhep server export ec:\dhcpbackup.txt” 
命令 ， 将 该 文件 复制 到 新 服务 器 的 相同 位 置 。 
2. 在 新 的 服务 器 上 安装 好 DHCP 服务 器 后 ， 在 命令 行 模式 下 输入 “netsh dhcp server 
import c:\dhcpbackup.txt” 命 令 ， 即 可 完成 DHCP 服务 器 的 迁移 。 
3. 在 迁移 操作 时 ， 一 定 要 使 用 系统 管理 员 组 的 有 效 账户 。 
【问题 4】 
1. 若 电子 阅览 室 的 客户 机 访问 Web 服务 器 时 出 现 “HTTP 错误 : 401.1- 未 经 授权 : 访问 
由 于 凭据 无 效 被 拒绝 .” 现 象 ， 则 需要 在 “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”一 
“本 地 用 户 和 组 >， 将 IUSR_ 机 器 名 账号 启用 来 解决 此 问题 。 
错误 号 : 401.1 
症状 : HTTP 错误 401.1 - 未 经 授权 : 访问 由 于 凭据 无 效 被 拒绝 。 
分 析 : 由 于 用 户 匿名 访问 使 用 的 账号 (默认 是 IUSR 机 器 名 ) 被 禁用 ， 或 者 没有 权限 访问 
计算 机 ， 将 造成 用 户 无 法 访问 。 
解决 方案 : 请 尝试 用 以 下 办 法 启用 : “控制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”一 
“本 地 用 户 和 组 ”， 将 IUSR 机 器 名 账号 启用 。 
2. 若 出 现 “HTTP 错误 : 401.2- 未 经 授权 : 访问 由 于 服务 器 配置 被 拒绝 .” 现 象 ， 造 成 
该 错误 的 原因 是 身份 验证 设置 的 问题 ， 一 般 应 将 其 设置 为 匿名 身份 认证 。 
错误 号 : 401.2 
症状 : HTTP 错误 401.2- 未 经 授权 : 访问 由 于 服务 器 配置 被 拒绝 。 
原因 : 关闭 了 匿名 身份 验证 解决 方案 : 运行 inetmgr， 打 开 站 点 属性 ~ 目录 安全 性 ~ 身 
份 验证 和 访问 控制 ， 选 中 “启用 匿名 访问 ”>， 输 入 用 户 名 ， 或 者 单 击 “浏览 ”按钮 选择 合法 
的 用 户 ， 并 两 次 输入 密码 后 确定 。 
例 2 某 单 位 网 络 拓扑 结构 如 图 4-83 所 示 ， 该 单位 Router 以 太 网 接口 E0 接 内 部 交换 
机 S1，S0 接口 连接 到 电信 ISP 的 路 由 器 ， 交换 机 S1 连接 内 部 的 Web 服务 器 、DHCP 服务 
器 、DNS 服务 器 和 部 分 客户 机 ， 服 务 器 均 安 装 Windows Server 2003， 办 公 室 的 代理 服务 器 
(Windows XP 系统 ) 安 装 了 两 块 网 卡 ， 分 别 连 接 交 换 机 S1、S2， 交 换 机 S1、S2 的 端口 均 在 
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VLAN1 中 。 


【问题 1】(4 分 ) 
根据 图 4-83， 该 单位 Router S0 接口 的 卫 地 址 应 设置 为 (1) ; 在 S0 接口 与 电信 IJISP 路 


由 器 接口 构成 的 子 网 中 ， 广 播 地 址 为 (2) 。 


BD 电信 Router 
IP:210.27.1.6/30 


192.168.1.9 ea 


SS 
了 PC1 呈 Ed 


Web 服 务 器 DHCP 服 务 器 DNS 服 务 器 
192,168,1,2 192,168,1,1 192,168,1.3 


4-83 ”网 络 拓扑 结构 图 


【问题 2】(2 分 ) 
办 公 室 代理 服务 器 的 网 卡 1 为 静态 地 址 , 在 网 卡 1 上 启用 Windows XP 内 置 的 “Internet 


连接 共享 ”功能 ,实现 办 公 室内 网 的 共享 代理 服务 ， 那么 通过 该 共享 功能 自动 分 配给 网 卡 2 
的 于 地 址 是 _G) 。 

【问题 3】(2 分 ) 

在 DHCP 服务 器 的 安装 过 程 中 ， 租 约 期 限 一 般 默 认为 (4) 天 。 


【问题 4】(2 分 ) 
该 单位 路 由 器 Router 的 E0 口 设置 为 192.168.1.9/24,， 若 在 DHCP 服务 器 上 配置 、 启 动 、 


激活 DHCP 服务 后 ， 查 看 DHCP 地 址 池 的 结果 如 图 4-84 所 示 。 


二 
文件 @) 操作) 查看 GO 帮助 00 
人 站 夯 | 回 加 | 加 | 炒 
DHCP 
IF 


日 -图 ipss[192.168.1.1] 
日 国 作用 域 [192.168 
地 址 池 


192. 168.1.254 地 址 分 发 范围 


第 4 章 Windows 应 用 服务 器 的 配置 


为 了 满足 图 4-83 的 功能 ， 在 DHCP 服务 器 地 址 池 配 置 操作 中 还 应 该 增加 什么 操作 ? 
【问题 5】(3 分 ， 每 空 1 分 ) 
假如 在 图 4-84 中 移 除 DHCP 服务 器 ， 改 由 单位 Router 来 提供 DHCP 服务 ， 在 Router 
上 配置 DHCP 服务 时 用 到 了 如 下 命令 ， 请 在 下 画 线 处 将 命令 行 补充 完整 。 
Router (config)#ip_(3)_hkhk// 配 置 DHCP 地 址 池 名 为 hkhk 


Router (dhcp-config)# (6) 192.168.1.0 255.255.255.0 
Router (dhcp-config)#. (7)_192.168.1.9 


【问题 6】(4 分 ， 每 空 2 分 ) 
如 图 4-85 所 示 ， 在 QQQ 网 站 的 属性 对 话 框 中 ， 若 “网 站 ”选项 卡 的 “JP 地 址 ”设置 
为 “全 部 未 分 配 ”， 则 说 明 (8) 。 
(8) 备 选 答案 : 
A. 网 站 的 他 地 址 为 192.168.1.1， 可 以 正常 访问 
B. 网 站 的 他 地 址 为 192.168.1.2， 可 以 正常 访问 
C. 网 站 的 他 地 址 未 分 配 ， 无 法 正常 访问 
在 图 4-86 的 Web 服务 “ 主 目录 ”选项 卡 上 ， 至 少 要 设置 对 主 目录 的 _(9) 权限 ,才能 访 


问 该 Web 服务 器 。 
(9) 备 选 答案 : 
A. 读 取 B. 写 入 C. 目录 浏览 D. 记录 访问 
| 11x 
ee -| -一 ee 加 1 es 1 Re 
网 站 标识 资源 的 内 容 末 目 - 
描述 他 画 此 计算 机 上 的 目录 @) 
|EEE 高 外 WW 个 另 一 各 计算 机 上 的 共享 信 ) 
DO smow: 六 于 村 
EE 本 地 路 径 ); 9 Fo ROLL 
0。 且 汪 多 尖 册 轩 
万 保持 MTT 连接 的 ) FF 
[到 有 有 睹 环 四 一 一 一 用 程序 认 量 
活动 日志 格式; 右 用 程序 名册。 。 必 UGRRF 了 ) 
[rc 扩展 日 志文 件 格式 ”到 | 属 作 加 开始 位 置 - 0> 
60: 压 一 一 一 一 可 - 夺 和 | 
应 用 程序 池 串 - [DefanltAppPocl z= | 
了 |_ 用 W | 和 抱 


图 4-85 “网 站 ”选项 卡 图 4-86 “ 主 目录 ”选项 卡 


【问题 7】(3 分 ) 
按 系 统 默认 的 方式 配置 了 KZ 和 QQQ 两 个 网 站 (如 图 4-87 所 示 )， 此 时 两 个 网 站 均 处 于 
停止 状态 ， 若 要 使 这 两 个 网 站 能 同时 工作 ， 请 给 出 三 种 可 行 的 解决 办 法 。 


方法 一 : _(10) 。 
方法 二 : (tn 。 
方法 三 :5 . (10) 。 


Internet 信息 服务 
避 )Ess 本 地 计算 机 ) 现 仿 目 ) 7666 已 停止 192.168.1.2 Ey 
田 各 FIP 站 点 全 wa 仿 上 ) 83454 已 停止 192.168.1.2 0 


时 Yeb 服务 扩展 


4 bl | | 
I 
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答案 : 
【问题 1】 
(1) 210.27.1.5 (2) 210.27.1.7 
【问题 2】 
(3) 192.168.0.1 
【问题 3】 
(8 
【问题 4】 
进行 “添加 排除 ”IP 地 址 的 操作 

【问题 5】 

(3$) dhcp pool (6)network (7) default-router 

【问题 6】 

(8)B (9)A 

【问题 7】 

(10) 给 KK 和 QQQ 指定 不 同 的 他 地 址 
(11) 给 KK 和 QQQ 指定 不 同 的 主机 头 值 
(12) 给 KK 和 QQQ 指定 不 同 的 端口 号 
解析 : 

【问题 1】 由 电信 Router 的 卫 地 址 210.27.1.6/30 可 知 , 主机 号 为 2 位 , 写成 二 进 制 为 
201.27.1.0000 0110， 主 机 号 全 为 1 时 为 广播 地 址 ， 即 210.27.1.0000 0111， 故 广播 地 址 为 
210.27.1.7; 将 最 后 2 位 改 成 01， 即 可 得 到 Router S0 接口 的 卫 地 址 为 210.27.1.5。 

【问题 2】 网卡 1 通过 共享 ， 自 动 分 配给 网 卡 2 的 IP 地 址 即 192.168.0.1 

【问题 3】 DHCP 服务 器 租约 (默认 情况 是 8 天 )。 

【问题 4】 缺少 “添加 排除 ”页 面 ， 这 里 用 户 可 以 指定 前 面 设置 的 他 地 址 范围 中 有 哪 
些 地 址 不 被 服务 器 分 配 。 

【问题 5】 空 (5) 处 是 配置 DHCP 地 址 池 名 ， 故 填 dhcp pool; 空 (6) 处 填 network; 空 
(7) 处 配置 默认 路 由 。 

【问题 6】IP 地址 设 为 全 部 未 分 配 ,由 图 4-83 可 知 Web 服 务 器 的 全 地 址 为 192.168.1.2， 
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可 以 正常 访问 。 要 访问 Web 服务 器 ， 必 须 设置 对 主 目 录 的 读 取 权 限 。 

【问题 7】 要 使 两 个 网 站 能 同时 工作 可 以 采用 以 下 方法 : 给 KK 和 QQQ 指定 不 同 的 
全 地 址 ; 给 KK 和 QQQ 指定 不 同 的 主机 头 值 ; 给 KK 和 QQQ 指定 不 同 的 端口 号 。 

例 3 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 5， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 网 络 拓扑 结构 如 图 4-88 所 示 ， 网 络 1 和 网 络 2 的 主机 均 由 DHCP_Server 
分 配 人 地 址 。FTP Server 的 操作 系统 为 Windows Server 2003 ，Web Server 的 域名 为 


www.softexamtest.com。 


110.115.3.1/24 61.202.117.254/26 
名 区 列 
DHCP Server FTP Servl a 
RT qm 和 
Web_Server 
0.115.3.2 
UL hostl 


4-88 ”网 络 拓扑 结构 图 


【问题 1】(4 分 ) 
DHCP_Server 服务 器 可 以 动态 分 配 的 他 地 址 范围 为 _Q) _ 和 _(2) 。 
【问题 2】(2 分 ) 
若 在 hostl 上 运行 ipconfig 命令 ， 可 获得 如 图 4-89 所 示 结 果 ，hostl 能 正常 访问 Internet 
吗 ? 说 明 原因 。 


画 C\Windows\system32\cmd.exe (=.5 ms 


4-89 ipconfig 命令 的 执行 结果 


【问题 3】(3 分 ) 
若 hostl 成 功 获 取 卫 地 址 后 ， 在 访问 http:/www.abc.com 网 站 时 ， 总 是 访问 到 
www.softexamtest.com， 而 同一 网 段 内 的 其 他 客户 端 访问 该 网 站 正常 。 在 hostl 的 
Ci\Windows\system32\drivers\etc 目录 下 打开 (3) 文件 ， 发 现 其 中 有 以 下 两 条 记录 : 


127.0.0.1 localhost 
4 WWW .abc .com 


请 填充 (4) 处 空缺 的 内 容 。 
【问题 4】(2 分 ) 


网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 
在 清除 第 2 条 记录 后 关闭 文件 ， 重 启 系统 或 hostl 访问 http:/www.abc.com 网 站 正常 。 


在 配置 FTP Server 时 ， 图 4-90 的 “IP 地 址 ”文本 框 中 应 填 入 _(5) 。 


| 
ITP 站 点 | 安全 帐户 | 消息 ”| 主 目录 | 目录 安全 性 | 
FP 站 点 标识 
描述 四 : 认 FT 站 点 
王 地 址 四 到 
TCP 端口 [); Pm 
ITP 站 点 连 接 
不 和 限制 如 
个 连 扩 限制 为 旭 : Je 
连接 起 时 吵 ) CC): 120 
站 启用 日 志 记 录 回 
活动 B 才 格式 久 : 
sc 扩展 目 志文 件 格式 习 刷 四 .| 
当前 会话 罗 
Ce ] ww | anw | Ww | 


4-90 FTP_Server 的 配置 


【问题 5】(4 分 ) 


若 FTP 配置 的 虚拟 目录 为 pen， 虚 拟 目录 配置 如 图 4-91 和 图 4-92 所 示 。 


1 


庶 扫 目录 | 目录 安全 性 | 

此 诬 二 内 客 来 源 
el 

个 兄 一 和 it 和 宙 上 的 目录 员 ) 

-FTP 站点 目 好 一 一 - 


io Fe 证 四 


克 内 职 国 ) 
FSA 
厅 记录 访问 QD 


RH | | 和 


-一 


庶 拟 目录 目录 安全 性 | 


T/T 地 直 访 问 限制 
台 认 情 况 下 ， 所 有 计算 机 奢 格 沪 。 6&7 太 授权 访问 ) 
TWA 外 罗 6 所 夫 WD 


| 


图 4-91 “虚拟 目录 ”选项 卡 


图 4-92 “目录 安全 性 ”选项 卡 


根据 以 上 配置 ， 哪 些 主机 可 以 访问 该 虚拟 目录 ? 访问 该 虚拟 目录 的 命令 是 _(6) 。 


答案 : 
【问题 1】 


(1) 110.115.3.4~110.115.3.254 (2) 61.202.117.193~61.202.117.252 


注意 ; (1) 和 (2) 的 内 容 可 以 调换 。 
【问题 2】 


hostl 不 能 正常 访问 Intemet。 因 为 它 的 卫 地 址 属于 169.254.0.0/16 这 个 B 类 网 段 ， 表 


明 它 没有 从 DHCP 服务 器 成 功 获 取 到 一 个 有 效 的 他 地址 。 
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【问题 3】 

(3) hosts (4) 61.202.117.253 
【问题 4】 

(5) 110.115.3.2 

【问题 5】 

(6) ftp:/110.115.3.2:2121/ 或 ftp://110.115.3.2:2121/pen 
解析 : 

【问题 1】 本 题 考查 DHCP 服务 器 的 配置 。 从 图 4-88 中 可 以 看 出 110.115.3.1、 
110.115.3.2 、110.115.3.3 分 别 已 经 固定 给 了 路 由 器 和 两 台 服 务 器 ， 所 以 地 址 范围 为 
110.115.3.4~110.115.3.254. 

【问题 2】 当 客户 端 未 能 从 DHCP 服务 器 获得 人 P 地 址 时 ,客户 端 会 检查 自己 是 否 配置 
了 备用 他 地 址 。 如 果 配 置 了 备用 IP 地址 ， 那 么 客户 端 会 首先 启用 备用 IP 地 址 ; 如 果 没有 
配置 备用 IP 地址 , 客户 机 将 从 169.254.0.0/16 这 个 B 类 网 段 中 选择 一 个 作为 卫 地 址 ， 并 且 
每 隔 5 分 钟 就 再 次 进行 DHCP 地 址 申请 。 

【问题 3】 本 题 考查 DHCP 服务 器 的 配置 ， 打 开 hosts 文件 可 查看 记录 。Hosts 是 静态 
的 IP 和 域名 映射 的 关系 。 

【问题 4】 本 题 考 查 FTP 服务 器 的 配置 ， 填 写 需要 配置 的 卫 地址 。 看 图 即 可 ， 此 处 还 
可 以 填写 “所 有 未 分 配 IP”。 

【问题 5】 只 有 110.115.3.10 这 台 主机 可 以 访问 该 虚拟 目录 。 所 以 命令 为 即 :/110.115.3.2:2121/ 
或 ftp://110.115.3.2:2121/pen。 


4.3.3 同步 练习 


阅读 以 下 关于 动态 主机 配置 协议 DHCP) 的 说 明 ， 回 答 问题 1 至 问题 4。 
【说 明 】 在 小 型 网 络 中 ，IP 地 址 的 分 配 一 般 都 采用 静态 方式 ， 需 要 在 每 台 计算 机 上 手 
工 配置 网 络 参数 , 诸如 人 P 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 等 。 在 大 型 网 络 中 , 采用 DHCP 
完成 基本 网 络 配置 会 更 有 效率 。 
【问题 1】( 每 空 1 分 ， 共 4 分 ) 
请 在 (D)~(4) 空 白 处 填写 恰当 的 内 容 。 
DHCP 的 工作 过 程 是 : 
1. 卫 租用 请 求 。DHCP 客户 机 启动 后 ， 发 出 一 个 DHCPDISCOVER 消息 ， 其 封包 的 源 
地 址 为 (D_， 目 标 地址 为 2) 。 
2. IP 租用 提供 。 当 DHCP 服务 器 收 到 DHCPDISCOVER 数据 包 后 ， 通 过 端口 68 给 客 
户 机 回应 一 个 DHCPOFFER 信息 ， 其 中 包含 一 个 还 没有 被 分 配 的 有 效 他 地 址 。 
3. IP 租用 选择 。 客户 机 可 能 从 不 止 一 台 DHCP 服务 器 上 收 到 DHCPOFFER 信息 。 客户 
机 选择 _(3) 达到 DHCPOFFER， 并 发 送 DHCPREQUEST 消息 包 。 
4. 全 租用 确认 。DHCP 服务 器 向 客户 机 发 送 一 个 确认 (DHCPACK) 信 息 , 信息 中 包括 下 
地 址 、 子 网 掩 码 、 默 认 网 关 、DNS 服务 器 地 址 ， 以 及 卫 地址 的 _(4) 。 
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【问题 2】( 每 空 1 分 ， 共 6 分 ) 

请 在 (3)~(10) 空 白 处 填写 恰当 的 内 容 。 

在 Linux 系统 中 使 用 (5) 程序 提供 DHCP 服务 ，DHCP 服务 器 启动 时 自动 读 它 的 配置 
文件 (0) 。DHCP 服务 器 配置 文件 如 下 所 示 。 


ddns-update-style interim; 


ignore client-updates; 
default-lease-time 86400; 
max-lease-time 129600; 

subnet 192.168.0.0 netmask 255.255.255.0 { 
option routers 192.168.0.1; 

option subnet-mask 255.255.255.0; 
option broadcast-address 192.168.0.255; 
option domain-name-servers 

61.233,.1.1; 202596.133.1347 

Range 192.168.1.10 192.168.0.250; 

} 


根据 这 个 文件 中 的 内 容 ， 该 DHCP 服务 的 默认 租 期 是 _(7) 天 ，DHCP 客户 机 能 获得 的 
IP 地 址 范围 是 从 _(8) 到 _(9) ; 获得 的 DNS 服务 器 亿 地 址 为 (10) 。 

【问题 3】(2 分 ) 

在 路 由 器 上 设置 DHCP (11) 可 以 跨 网 段 提供 DHCP 服务 。 

(11) 备 选 答案 : 

A. 多 个 作用 域 B. 中 继 代 理 C.VPN 

【问题 4】( 每 空 1 分 ， 共 3 分 ) 

请 在 (12)~(14) 空 白 处 填写 恰当 的 内 容 。 

Windows XP 用 户 在 命令 行 方 式 下 ,通过 _(12) 命令 可 以 看 到 自己 申请 到 的 本 机 下 地 址 ， 
用 _(13) 可 以 重新 向 DHCP 服务 器 申请 卫 地 址 ， 用 _(14) 命令 可 以 将 他 地 址 释放 。 


4.3.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(1) 0.0.0.0 ” (2) 255.255.255.255 ”(3) 第 一 个 (或 最 先 ) ”(4) 租约 (或 租 期 ) 
【问题 2】 

(5) dhcpd (6) /etc/dhepd.conf “(7) 1( 或 一 ) (8) 192.168.1.10 

(9) 192.168.0.250 (10) 61.233.9.9 或 202.96.133.134 均 正确 

【问题 3】 

(1DB 

【问题 4】 

(12) ipconfig 或 ipconfig/all (13) ipconfig/renew (14) ipconfig/release 
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4.4 代理 服务 器 的 配置 


4.4.1 考点 辅导 


4.4.1.1 Internet 连接 共享 


ICS 是 Intemet Connection Sharing 的 缩写 ， 是 自 Windows 98 第 二 版 以 来 ，Windows 操 
作 系统 内 置 的 一 个 多 机 共享 上 网 组 件 。ICS 可 以 使 多 个 用 户 利用 一 个 Internet 连接 上 网 ， 非 
常 适合 在 家 庭 网 络 环境 中 使 用 。ICS 需要 两 个 连接 才能 工作 : 一 个 是 外 部 连接 ， 一 般 为 
ADSL、Cable Modem 或 FTTx+LAN 的 Internet 连接 ， 另 一 个 是 内 部 连接 ， 用 于 把 ICS 主机 
连接 到 本 地 局 域 网 中 的 其 他 计算 机 上 。 因 此 ， 充 当主 机 的 计算 机 至 少 需要 两 个 网 卡 ， 一 个 
用 于 外 部 连接 ， 一 个 用 于 内 部 连接 。 

Internet 连接 共享 更 适用 于 家 庭 网 络 或 小 型 办 公 网 络 ， 其 功能 比较 简单 ， 设 置 也 相当 容 
易 ， 不 需要 太 多 的 专业 知识 就 可 以 完成 。 通 常 在 家 庭 网 络 环境 下 对 安全 的 要 求 并 不 会 太 高 ， 
Internet 连接 共享 配合 防火 墙 ， 就 可 以 为 局 域 网 中 的 其 他 机 器 提供 有 效 的 保护 。 

下 面 以 Windows XP 为 例 ,介绍 如 何 配置 ICS, 配置 的 过 程 分 为 配置 ICS 主机 和 客户 机 
两 部 分 ， 步 骤 如 下 。 


1.ICS 主机 端 


(1) 在 ICS 主机 上 , 首先 打开 “控制 面板 ”窗口 , 如 图 4-93 所 示 , 单 击 “网 络 和 Internet 
连接 ”图 标 ， 打 开 如 图 4-94 所 示 的 “网 络 和 Internet 连接 ”窗口 。 
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图 4-93 “控制 面板 ”窗口 图 4-94 “网 络 和 Internet 连接 ”窗口 


(2) 单 击 “网 络 安装 向 导 ” 图 标 ， 打 开 “ 网 络 安装 向 导 ” 对 话 框 ， 如 图 4-95 所 示 。 单 
击 “ 下 一 步 ” 按 钮 , 打开 如 图 4-96 所 示 的 “继续 之 前 ”界面 , 向 导 提醒 用 户 检查 网 卡 、 Modem、 
电缆 以 及 其 他 一 些 设备 的 状态 。 


来 迎 使 用 网 络 安装 向导 


艘 Ei. SU 


图 4-95 “网 络 安装 向 导 ” 对 话 框 


改 生 之 军 


堆 生 下 一 步 之 前 , 尘 参 风 了 网站 请 和 , 
闪 后 ， 完 成 下 列 步 要 


: 幸 哮 一 e 吉 
。 打 开拓 有 + 复 轴 、 末 印 机 和 外 部 朋 制 及》 器 . 
。 | nternet 


单 击 “下 一 步 " 时 ， 向 愤 在 网 络 上 搜索 共享 Interaet 连结 


图 4-96 “继续 之 前 ”界面 


(3) 单 击 “ 下 一 步 ”按钮 ， 在 如 图 4-97 所 示 的 “选择 连接 方法 ”界面 中 选中 “这 台 计 
算 机 直接 连接 到 Internet。 我 的 网 络 上 的 其 他 计算 机 通过 这 台 计 算 机 连接 到 Internet” 单 选 按 钮 。 
(4) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 将 列 出 ICS 上 主机 所 有 的 网 络 连 接 。 选 择 与 Intemet 相 


连 的 那个 网 络 连接 ， 如 图 4-98 中 的 WAN。 


迪 择 连接 方 法 。 


选择 最 能 从 当 描述 这 台 计算 机 的 说 明 ; 
2 TP | 


查看 示 创 ， 

口 由 机 通过 必 民 区 的 网 关 吏 风 9 络 上 的 其 地 上 生 溢 到 | Taterzet gb 。 
查看 去 侧 ， 

OR 

进一步 了 解 案 应 到 小 到 办 公司 络 甩 置 。 
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图 4-97 “选择 连接 方法 ”界面 


4-98 选择 Internet 连接 


(5) 单 击 “ 下 一 步 ” 按 钮 ， 在 如 图 4-99 所 示 的 “给 这 台 计 算 机 提供 描述 和 名 称 ” 界 面 


中 输入 ICS 主机 的 计算 机 描述 和 计算 机 名 。 


(6) 单 击 “ 下 一 步 ”按钮 ， 在 打开 的 “命名 您 的 网 络 ” 界 面 中 输入 一 个 工作 组 名 称 ， 


如 图 4-100 所 示 。 


给 这 各 计算 机 提供 描述 和 名 称 - 图 


计算 机 指示 E) 

0: Fonily oo Cowputer 或 Woniev s Campater 
计算 机 名 四 ) MNP 

例 80: PMTLY 或 WONICA 
当前 计算 机 名 为 TWP， 


re 提供 商 CSps) 要 求 您 使 用 指定 的 计算 机 各。 使 用 电 绕 调 制 解 凋 器 
Eb 
加 果 人 寺 和 机 要 定 计 和 机 和 ， 由 要 更 到 的 ISP 提 关 的 计 和 机 各， 


进一步 了 解 坟 复 机 名 和 茹 壕 。 


[Eu 


图 4-99 “给 这 台 计 算 机 提供 描述 和 名 称 ” 界 面 


命名 您 的 网 络 。 


3 pt 您 的 网 络 上 的 所 有 计算 机 和 应 该 有 同样 的 


工作 想 名 
Wo: MDIE 或 OFFICE 


图 4-100 “命名 您 的 网 络 ”界面 
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(7) 单 击 “ 下 一 步 ” 按 钮 ,安装 向 导 提示 是 否 启用 文件 和 打印 机 共享 ， 
XP 防火 墙 ， 这 里 可 根据 实际 需要 选择 启用 还 是 关闭 ， 如 图 4-101 所 示 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 列 出 前 面 各 步骤 中 收集 的 设置 信息 ， 
做 最 后 的 确认 ， 如 图 4-102 所 示 。 


网 络 究 装 向 导 


以 配置 Windows 


供用 户 在 配置 前 


文件 和 打印 机 共享 pp 
和 和 的 ”文件 来。 向 时 格 可 用 下 列 设 量 。 这 个 过 程 需要 花 几 名 时间 ， 而 有 不 能 打 电 。 
设置 
爷 起 才 什么? mornet 这 六 
ORM 和 et 
i SR es 
“请 era | 
要 应 用 这 些 设置 ， 请 单 击 “下 一 步 ”。 
7) [ELSE 了 | 
图 4-101 “文件 和 打印 机 共享 ”界面 图 4-102 “准备 应 用 网 络 设置 ”界面 


(9) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 开始 设置 网 络 。 经 过 一 段 时 间 后 ， 弹 出 如 图 4-103 所 示 
的 “ 快 完成 了 ”界面 ， 提 示 用 户 需 要 在 网 络 中 的 每 台 计 算 机 上 运行 一 次 网 络 安装 向 导 。 由 
于 网 络 安装 向 导 只 在 Windows XP 中 提供 , 如 果 要 在 没有 运行 Windows XP 的 计算 机 上 运行 
该 向 导 , 则 要 使 用 Windows XP 安装 光盘 或 创建 网 络 安装 磁盘 , 这 里 我 们 选中 使 用 Windows 
XP CD” 单 选 按钮 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 给 出 在 其 他 要 联网 的 计算 机 上 使 用 Windows XP CD 运 
行 网 络 安装 向 导 的 方法 ， 即 插入 CD， 在 出 现 的 CD 菜单 上 单 击 “ 执 行 其 他 任务 ”命令 , 再 
单 击 “ 安 装 家 庭 或 小 型 办 公 网 络 ”命令 ， 按 照 系统 提示 操作 即 可 ， 如 图 4-104 所 示 。 


快 完成 了 要 用 Yindews XP CD 来 运行 向 导 . 


i me 
您 要 做 什么 ? 

〇 陵 网 络 安装 磺 盟 人) 

口 用 已 有 的 网 络 安装 盔 盘 UW) 


回 简 用 Raws 对 i 攻 j 
品 完 成 该 向 导 。 我 不 需要 在 其 他 计算 机 上 运行 该 向 导 CI) 


图 4-103 “ 快 完 成 了 ”界面 


(11) 单 击 “ 下 一 步 ” 按 钮 ， 在 如 图 4-105 所 示 的 “ 


“完成 ”按钮 ， 并 重启 计算 机 。 


图 4-104 


DR 然后 ， 用 Windows XP CD 东 网 络 上 的 每 一 台 


执行 方法 


人 
时 
3 在 出 


人 


下 一 个 荣 单 上 ， 单 击 “ 0 多 并 办 公 网 络 " ， 


“要 用 Windows XP CD 来 
运行 向 导 ” 界 面 


正在 完成 网 络 安装 向 导 ” 界 面 中 单 击 


2. 客户 机 端 


在 客户 机 上 按照 上 面 所 描述 的 步 又 运行 网 络 安装 向 导 ， 但 要 在 “选择 连接 方法 ”界面 
中 选中 “此 计算 机 通过 居民 区 的 网 关 或 网 络 上 的 其 他 计算 机 连接 到 Intemet” 单 选 按钮 ， 如 
图 4-106 所 示 。 然 后 按照 系统 的 提示 一 步 一 步 完成 整个 安装 过 程 。 


正在 完成 网 络 安装 向 导 


您 已 成 功 地 为 家 庭 或 小 型 办 公 网 络 配置 了 这 人 台 计 算 机 


关于 家 座 或 小 型 办 公 同 纺 的 帮助 信息 ， 请 参 闻 “帮助 和 i ee 
支持 中 心 ” 中 的 下 到 主题 we i Iaternet， 我 的 网 络 上 的 其 他 计算 机 通过 这 台 计算 机 连接 到 


要 看 到 网 络 上 的 其 他 计算 机 请 单 击 「 开 始 」 ， 然 后 间 ET 和 机 过 居民 区 的 同 关 或 网 洁 上 的 下 姑 汗 竺 机 尝 接 到 Internet 凶 ). ] 
击 * 问 上 入 居 ”。 下 二。 
〇 其 地 四 


要 关闭 这 个 向 时， 请 单 击 “ 完 成 ”。 进一步 了 解 室 许 或 小 型 办 公司 纺 卫 置 , 


图 4-105 “正在 完成 网 络 安装 向 导 ” 界 面 图 4-106 “选择 连接 方法 ”界面 


另 一 种 较为 简便 的 设置 ICS 的 方法 是 : 在 ICS 主机 上 ,打开 与 Internet 连接 的 网 卡 的 网 
络 连 接 属 性 对 话 框 ， 再 切换 到 “高 级 ”选项 卡 ， 如 图 4-107 所 示 ， 选 中 “人 允许 其 他 网 络 用 户 
通过 此 计算 机 的 Intemet 连接 来 连接 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 ， 然 后 按照 系统 提示 完成 
操作 。 此 时 该 ICS 主机 与 局 域 网 相连 的 网 卡 的 也 地 址 和 子 网 掩 码 被 动 设置 为 192.168.0.1 
和 255.255.255.0， 如 图 4-108 所 示 。 而 网 络 中 的 其 他 客户 机 只 需 将 网 卡 的 TCP/IP 协议 设 为 
“自动 获得 他 地址 ”， 即 可 共享 ICS 主机 的 Internet 连接 。 


ternet 协议 ICP/IP) 属性 
和 有 


人 


人 自动 焉 视 IF 地 址 @) 
Internet 活 接 共享 全 用 下 面 的 I? 地 址 G) 
地 址 加 192 .1 ,0 ,1 
回 兹 洋基 网 络 用 户 通 过 此 计算 机 的 Tnternet 连 要 匡 
条 FN 255 ,255 ,255 ,0 


回 的 有 记过 全 并 的 Internet 过 st 


了 解 aternat 尝 接 共 训 的 更 多 信息 。 


常规 | 验证 | 高 级 
Windows 防火 寺 


We mt EE 


全 更 用 下 而 DIS 服务 器 地 址 1) 
首选 DNS 服务 器 人) 
各 用 DRS 服务 器 4) 


加 果 悠 不 确定 如 何 设置 这 些 尿 性 ,请 使 用 
安装 向 时 


[CC 驼 J]L 融 ] 


图 4-107 “高 级 ”选项 卡 图 4-108 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 


4.4.1.2 ”网 络 地 址 转换 


NAT 的 全 称 是 Network Address Translation, 它 通 过 一 种 把 内 部 私有 卫 地 址 翻译 成 合法 
的 正式 网 络 他 地 址 技术 ， 人 允许 整体 机 构 以 一 个 公用 下 地址 出 现在 Internet 上 。 
NAT 的 工作 原理 如 图 4-109 所 示 。 
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客户 机 1 
192.168.0.2 


Internet 


客户 机 2 
192.168.0.3 


PP 可 
192.168.0.4 


图 4-109 NAT 工作 原理 


从 图 4-109 中 可 以 看 出 ， 采 用 NAT 共享 Internet 连接 时 ， 各 主机 在 局 域 网 内 部 通信 时 ， 
使 用 内 部 私有 IP 地 址 ， 而 当 内 部 主机 要 和 外 部 网 络 进行 通信 时 ， 就 由 NAT 服务 器 将 内 部 
私有 了 他 地址 转换 成 公用 下 地 址 。 此 时 内 部 网 络 对 于 外 部 网 络 来 说 是 不 可 见 的 ， 而 且 内 部 计 
算 机 用 户 也 意识 不 到 NAT 服务 器 的 存在 .NAT 技术 很 好 地 解决 了 公共 他 地 址 紧缺 的 问题 ， 
但 也 存在 一 些 缺 点 ， 满 足 不 了 一 些 网 络 应 用 的 要 求 。 

NAT 有 三 种 类 型 ， 静态 NAT(Static NAT)、 动 态 地 址 NAT(Pooled NAT) 和 地 址 复 用 
PAT(Port Address Translation)。 

静态 NAT 设置 起 来 最 为 简单 ， 内 部 网 络 中 的 每 个 主机 都 被 永久 映射 成 外 部 网 络 中 的 某 

合法 的 地 址 。 

动态 地 址 NAT 则 只 是 转换 他 地址 ， 它 为 每 一 个 内 部 的 他 地址 分 配 一 个 临时 的 外 部 他 
地 址 ， 主 要 应 用 于 拨号 。 对 于 频繁 的 远程 连接 也 可 以 采用 动态 NAT。 当 连接 上 远程 用 户 之 
后 ， 动 态 地 址 NAT 就 会 分 配给 它 一 个 他 地址 ， 用 户 断 开 时 ， 这 个 人 P 地 址 就 会 被 释放 而 留 
待 以 后 使 用 。 

地 址 复 用 PAT 能 使 多 个 内 部 地 址 映射 到 同一 个 合法 的 瑟 地 址 上 ， 所 以 也 可 称 作 “ 多 对 
一 ”NAT。 通 过 使 用 PAT 可 eft 卫 地 址 节点 使 用 一 个 合法 的 I 了 P 地 址 访问 
Intermet。PAT 普遍 应 用 于 接 入 设备 中 ， 它 可 以 将 中 小 型 的 网 络 隐 藏 在 一 个 合法 的 他 地址 后 
面 。PAT 与 动态 地 址 NAT 不 同 ， 它 将 内 部 连接 映射 到 外 部 网 络 中 的 一 个 单独 的 他 地 址 上 ， 
同时 在 该 地 址 上 加 上 一 个 由 NAT 设备 指定 的 TCP 端口 号 。 当 NAT 服务 器 接收 到 外 部 网 络 
返回 的 应 答 信息 时 ， 会 根据 地 址 中 的 TCP 端口 号 判断 将 数据 包 转发 到 网 络 中 发 起 该 访问 请 
求 的 主机 。 

下 面 介绍 如 何在 Windows Server 2003 中 配置 NAT， 具 体 步骤 如 下 。 

(1) 单 击 “开始” 按钮 ， 在 “管理 工具 ”中 选择 “路 由 和 远程 访问 ”命令 ， 打 开 如 
图 4-110 所 示 的 “路 由 和 远程 访问 ”窗口 。 

(2) 在 左 窗 格 中 右 击 服务 器 名 ， 在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访 
问 ” 命 令 ， 如 图 4-111 所 示 ， 打 开 安 装 向 导 ， 如 图 4-1112 所 示 。 

(3) 单 击 “ 下 一 步 ” 按钮 ， 在 如 图 4-113 所 示 的 “配置 ”界面 中 ， 选 中 “网 络 地 址 转换 ” 
单 选 按钮 。 

(4) 单 击 “ 下 一 步 ”按钮 ， 打 开 如 图 4-114 所 示 的 “NAT Intemet 连接 ”界面 ， 此 处 要 
为 NAT 选择 一 个 Internet 接口 。 若 使 用 的 是 固定 连接 ， 则 选中 “使 用 此 公共 接口 连接 到 


rier 单 选 按钮 ， 并 在 下 面 的 列表 中 
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选中 此 连接 。 若 使 


中 “创建 一 个 新 的 到 Internet 的 请 求 拨 
连接 到 Internet” 单 选 按 钮 。 


Er ET 


号 接口 ” 单 选 按钮 。 


| 


这 里 我 们 选中 “使 用 此 公 


ET 


的 是 拨号 连接 到 Intemet， 则 选 
* 接 


9y 


“+ 国 | 贸 


EE 


欢迎 使 用 路 由 和 远程 访问 
吕 由 和 运程 访问 提 信 于 用 殉 镶 的 安全 却 程 访问 - 
i 


村 系 j0 一 个 路由 和 元 职 访问 各 并 ， 在 “所 作 " 节 间 ,上 
服务 器 ” 


有 关 安 污 下 和 远程 沪 问 ， 部 著 方 案 ， 


请 六 疾 有 和 。 


以 难 亲 和 和 大 


EE 
这 


击 “ 渐 加 


多 信息 ， 


EE 


这 全 上 由 和 运程 访问 
入 问 要 人 到 专 月 网 络 移 安全; 


有 关 安 村 耻 由 和 元 各 访问 ， 部 著 万 案 ， 以 及 缮 办 解 守 的 更 
请 过 册 站 助 。 


要 


a I dll) 
图 4-110 “路 由 和 远程 访问 ”窗口 图 4-111 启动 配置 命令 
路 由 和 运程 访问 最 务 器 安装 站 导 
欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 
此 向 导 和 帮助 您 设置 服务 器 ， TE 
并 亿 许 来 目 还 程 客户 请 的 连接 
要 继续 ， 请 单 击 “ 下 一 步 ”, 
IE | 
4-112 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 杠 
配置 AT Tateraet 
您 可 以 自用 下 列 服务 的 任意 组 含 ， 或 者 您 可 以 自 定义 此 服务 器 。 旭 可 以 入 口 ， 了 为 这 了 一 个 新 的 水 技 叶 


个 远程 访问 入 号 或 VPID 四 ) 
Fy Internet 连接 来 库 接 到 


6 PE GY 

允许 内 部 客户 端 使 用 一 个 公共 IP 地 址 连接 到 Tsternet。 
g 人 (VPD 访 问 和 NAT 久 ) a 

如 人 全 ee :| 
个 两 个 考 用 网 络 之 间 的 安全 连接 名) 

必 此 风 络 连接 到 一个 运程 网 络 ， 便 如 一 个 分 支 办 公 室 。 


个 自 定义 配置 ) 
选择 在 路 由 和 远程 访问 中 的 任何 可 用 功能 的 组 合 . 


有 关 这 些 选 项 的 更 多 信息 ， 请 参阅 星 由 和 远程 访 司 帮助。 


本 拉客 户 请 使 用 一 个 单一 的 


有 


配置 ”界面 


图 4-113 


个 害 限 一 个 新 的 到 Internet 的 清 求 拟 号 接口 四) 


Ee 


凡 通过 设置 基本 防火 增 来 在 对 渴 择 的 接口 进行 保护 到) 
基本 防火 墙 防止 未 授权 的 用 户 通过 Interret 访问 此 服务 器 ， 


有 关 网 络 接 吕 的 更 多 信息 ， 请 参 漓 路 贞 和 渗 程 访问 玫 助 . 


《上 -和 步 加 了 


“NAT Internet 连接 ”界面 


图 4-114 
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(5) 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 如 图 4-115 所 示 的 界面 中 单 击 “ 完 成 ”按钮 ， 向 导 
开始 配置 并 启动 路 由 和 远程 访问 服务 ， 配 置 后 的 控制 台 界 面 如 图 4-116 所 示 。 
路 由 和 运程 访问 时 备 轩 安装 褒 导 lolxl 


正在 完成 共和 运程 访问 服务 问安 委身 叶 Ei 


名 己 世 了 守 开 歼 出 和 二 访问 是 务 器 实 半 二 导 。 


册 贡 5 涩 -| 苇 执 了 的 入 | 拒绝 了 的 
0 o 0 

0 

0 


| 人 中 部 DIE 和 HIC? 服务 加。 请 确 这 些 
服 各 了 秆 正确 


清音 而 “完成 " 开关 闭 此 向 导 。 


sp] ww | - QQ 


图 4-115 “正在 完成 路 由 和 远程 访问 图 4-116 配置 NAT 后 的 “路 由 和 远程 访问 ”控制 台 
服务 器 安装 向 导 ” 界 面 


4.4.2 ”典型 例题 分 析 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 终 端 服 务 可 以 使 客户 远程 操作 服务 器 ， 在 Windows Server 2003 中 开启 终端 服 
务 时 需要 分 别 安装 终端 服务 的 服务 器 端 和 客户 端 , 图 4-117 为 客户 机 Hostl 连接 终端 服务 器 
Serverl 的 网 络 拓扑 示意 图 。 
119.117.122.254 202.154.1.202 


119.117.120.1 HN 有 
站 
se 
& 119.117.120.254 人 Serverl 


Hostl 
4-117 ”网络 拓扑 示意 图 


Hostl 和 Serverl 账户 如 表 4-2 所 示 。 
表 4-2 Host1 和 Server1 账户 


Administrators 
Power Users 


Administrators 


RDU1 
Admin2 


Serverl Remote Desktop Users 


图 4-118 是 Serverl 系统 属性 的 “远程 ”选项 卡 ， 图 4-119 是 Serverl RDP-Tcp 属性 的 
“环境 ”选项 卡 ， 图 4-120 为 Hostl 采用 终端 服务 登录 Serverl 的 用 户 登 录 界面 。 
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到 
| Pe 
CE | ed Ee 
三 局 凤 和 协助 北 洗 人 这 各 计 和 发 少 


进一步 了 解 远程 协助 , 


CO 册 | mul| CE _w | smw | 
图 4-118 “远程 ”选项 卡 图 4-119 “环境 ”选项 卡 


此 外 , 在 Serverl 中 为 了 通过 日 志 了 解 每 个 用 户 的 行踪 ， 把 “D:\tom\note.bat” 设 置 成 用 
户 的 登录 脚本 ， 通 过 脚本 中 的 配置 来 记录 日 志 。 
【问题 1】(3 分 ) 
默认 情况 下 ，RDU2 对 终端 服务 具有 _(D_ 和 _(2) 权限 。 
(1)、(2) 备 选 答案 : 
A. 完全 控制 B. 用 户 访问 C. 来 宾 访 问 D. 特别 
【问题 2】(7 分 ) 
将 RDU2 设置 为 Serverl 的 终端 服务 用 户 后 ， 在 Hostl 中 登录 Serverl 时 ， 图 4-120 中 
“计算 机 ”文本 框 应 填 入 _(3) ， “用户 名 ”文本 框 应 填 入 _(4)_。 
此 时 发 现 Hostl 不 能 远程 登录 终端 服务 器 ， 可 能 的 原因 是 _(5) 。 


| 人 | 本 次 源 | 程序 | 高 如 | 


可 键入 计算 机 名 ,或 者 从 下 拉 列 表 中 选刊 一 台 计算 机 - 


计算 机 亿 )- 


CEs®] ww |_ ww | ww «| 


4-120 登录 设置 


第 4 章 Windows 应 用 服务 器 的 配置 


【问题 3】(2 分 ) 

在 图 4-119“ 程 序 路 径 和 文件 名 ”文本 框 中 应 输入 _(6) 。 
【问题 4】(3 分 ) 

note.bat 脚本 文件 如 下 。 

time /t>>note.1og 


netstat -n -p tcp | find":3389">>note.1og 
start Explorer 


第 一 行 代码 用 于 记录 用 户 登录 的 时 间 , “time /1” 的 意思 是 返回 系统 时 间 , 使 用 符号 “>>” 
把 这 个 时 间 记 入 “note.log” 作 为 日 志 的 时 间 字段 。 请 解释 下 面 命令 的 含义 。 
netstat -n -p tcp | find":3389">>note.1og 


答案 : 
【问题 1】 
(DB QC 
注意 :(1) 和 (2) 的 答案 可 以 互 换 。 
【问题 2】 
(3) 210.154.1.202 (4) RDU2 
(5) 图 4-118 中 没有 选中 “人 允许 用 户 远 程 连接 到 您 的 计算 机 ” 复 选 框 。 
【问题 3】 
(6) D:\tom\note.bat 
【问题 4】 将 通过 3389 端口 访问 主机 的 TCP 协议 状态 信息 写 入 note.log 中 , 或 将 远程 
访问 主机 的 信息 记录 在 日 志文 件 notelog 中 。 
解析 : 
【问题 1】 RDU2 是 远程 桌面 组 的 成 员 ， 只 有 访问 权限 而 不 具备 完全 控制 权 。 
【问题 2〗 要 远程 登录 终端 服务 时 ， 需 要 在 “计算 机 ”文本 框 中 输入 终端 服务 器 的 IP 
地 址 ，Serverl 为 终端 服务 器 ， 其 地 址 为 210.154.1.202。 在 “用 户 名 ”文本 框 中 输入 账户 名 
“RDU2”. 
此 外 ， 要 登录 远程 服务 器 ， 服 务 器 中 必须 允许 用 户 远 程 连接 。 
【问题 3】 此 处 填 入 的 是 日 志文 件 的 存放 目录 。 由 题目 可 知 ， 在 Serverl 中 把 “Di\tom\note.bat” 
设置 成 用 户 的 登录 脚本 ， 通 过 脚本 中 的 配置 来 记录 日 志 。 
【问题 4】 netstat -n -p tcp | find":3389">>note.log 的 目的 是 将 远程 访问 主机 的 信息 记 
录 在 日 志文 件 note.log 中 ， 记 录 3389 端口 的 TCP 协议 状态 。 


4.4.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 6， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 公司 的 两 个 部 门 均 采 用 Windows 2003 的 NAT 功能 共享 宽带 连接 访问 
Intermmet， 其 网 络 结构 和 相关 参数 如 图 4-121 所 示 。ISP 为 该 公司 分 配 的 公 网 人 P 地 址 段 为 
202.117.12.32/29。 


图 4-121 网 络 拓扑 结构 图 
【问题 1】(2 分 ) 

在 Windows 2003 中 ，_(1) 不 能 实现 NAT 功能 。 

(1) 备 选 答案 : 

A. 终端 服务 管理 器 B. Internet 连接 共享 C. 路 由 和 远程 访问 
【问题 2】(4 分 ) 

在 图 4-122 所 示 的 窗口 中 ， 为 部 门 B 的 服务 器 2 配置 “路 由 和 远程 访问 ”功能 ， 新 增 
eth0 和 ethl 上 的 网 络 连 接 。eth0 上 的 网 络 连接 应 该 选中 图 4-123 中 的 _(2) 选项 进行 配置 ， 
ethl 上 的 网 络 连接 应 该 选中 图 4-123 中 的 _G) 选项 进行 配置 。 

(2)、(3) 备 选 答案 : 

A. 专用 接口 连接 到 专用 网 络 
B. 公用 接口 连接 到 Intemet 
C. 仅 基 本 防火 墙 

【问题 3】(2 分 ) 

部 门 B 中 主机 PC1 的 默认 网 关 地 址 应 配置 为 _(4) 才能 访问 Intemet。 


本 地 连接 属性 


[nT/ 革 本 防火 培 | 
接口 类 型 : 
CEE BEE ER 
文件 到 ) 操作 查看 OO。 帮助 0 r T 
扫 消 | 向 | 四 |X 锻 且 加 | 多 et tonet 2 
路 由 和 远程 访问 厂 


基本 防火 墙 只 有 在 网 络 要 求 的 时 候 才 从 Internet 接收 数据 
个 芭 共 本 防 火 墙 四) 
者 才 数据 包 第 选 器 
WT tt to IP 地 址 或 协 


入 站 第 选 器 实 ) | 。 出 站 第 选 器 @) 


[了 | | 了 0 | | 应 用 WW 


图 4-122 “路 由 和 远程 访问 ”窗口 


4-123 ”eth0 的 网 络 连接 
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【问题 4】(2 分 ) 

在 部 门 B 的 服务 器 2 中 ， 如 果 将 ISP 分 配 的 可 用 公 网 他 地 址 添加 到 地 址 池 ( 如 图 4-124 
所 示 ), 那么 服务 器 1 收 到 来 自 部 门 B 的 数据 包 的 源 地 址 可 能 是 _(5) 。 如 果 部 门 B 中 两 台 不 
同 PC 同时 发 往 公 网 的 两 个 数据 包 的 源 地 址 相同 ， 则 它们 通过 _(6) 相互 区 分 。 

【问题 5】(2 分 ) 

在 服务 器 2 的 ethl 上 启用 基本 防火 墙 , 如 果 希 望 将 202.117.12.38 固定 分 配给 全 地址 为 
192.168.2.10 的 FTP 服务 器 ， 且 使 得 公 网 中 主机 可 以 访问 部 门 B 中 的 FTP 服务， 应 该 在 
图 4-124 和 图 4-125 所 示 的 对 话 框 中 如 何 配 置 ? 


| 
MAT/ 基 本 防火 墙 地址 池 | 服务 和 端口 | TuP | 
您 的 Internet 接 入 服务 提供 商 CSP) 分 配 此 地 址 池 。， 


及 ] 到 EE 
Wm 加 W.. Le 


保留 公用 地 址 
从 上 面 的 列表 中 为 尾 定 的 专用 网 络 计算 机 保留 公用 地 址 。 


全 四 
末了 | 庙 用 W 
图 4-124 “地 址 池 ” 选 项 卡 图 4-125 “添加 保留 区 ”对 话 框 


【问题 6】(3 分 ) 
为 了 实现 部 门 A 和 部 门 B 中 的 主机 互相 通信 ， 在 服务 器 1 和 服务 器 2 上 都 运行 了 “路 
由 和 远程 访问 ”服务 ， 两 台 服务 器 的 静态 路 由 信息 应 配置 如 表 4-3 所 示 。 
表 4-3 路 由 信息 配置 表 


主机 | 接口 | 目标 | 网 络 撞 码 


服务 器 1 WAN 连接 (8) 


服务 器 2 Er 
4.4.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(1) A 或 终端 服务 管理 器 
【问题 2】 


(2) A 或 专用 接口 连接 到 专用 网 络 (3) B 或 公用 接口 连接 到 Internet 
【问题 3】 
(4) 192.168.2.8 
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【问题 4】 

(5) 202.117.12.37 或 202.117.12.38 

(6) 端口 号 

【问题 5】 

在 “本 地 连接 属性 ”对 话 框 中 单 击 “ 保 留 ” 按 钮 ， 在 弹出 的 对 话 框 中 单 击 “ 添 加 ” 按 
钮 ， 出 现 “ 添 加 保留 区 ”对 话 框 ， 依 次 填 入 他 地 址 202.117.12.38 和 192.168.1.3， 选 中 “人 允 
许 将 会 话 传 入 到 此 地 址 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 。 然 后 在 “本 地 连接 属性 ”对 话 框 的 
“服务 和 端口 ”选项 卡 中 选中 “FTP 服务 ” 即 可 。 


【问题 6】 
(7) 192.168.2.0 (8) 255.255.255.0 (9) 202.117.12.37 
(10) 192.168.1.0 (11) 255.255.255.0 (12) 202.117.12.34 


45 本 章 小 结 


本 章 知识 点 在 2014 年 的 新 大 纲 中 变化 不 大 ， 只 是 要 求 更 加 明细 化 ， 并 添加 了 网 络 安全 
的 内 容 。 

本 章 主要 要 求 考生 掌握 Windows 网 络 服务 的 基本 功能 以 及 在 Windows 平台 下 相关 服务 
器 的 配置 。 主 要 内 容 包括 IIS 服务 器 的 配置 、DNS 服务 器 的 配置 、 DHCP 服务 器 的 配置 和 代 
理 服务 器 的 配置 。 

本 章 内 容 为 下 午 科目 的 重点 内 容 ， 为 每 次 考试 必 考 的 内 容 。 本 章 的 每 小 节 中 都 组 织 了 
大 量 的 针对 水 平 考试 的 典型 例题 分 析 和 同步 训练 ， 这 些 题目 涵盖 了 大 纲 规定 的 知识 要 点 ， 
有 助 于 考生 巩固 所 掌握 的 知识 。 
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大 纲要 求 : 

”DHCP 服务 器 的 原理 和 配置 (Linux)。 

DNS， 包 括 URL、 域 名 解析 和 DNS 服务 器 的 配置 (Linux)。 

电子 邮件 服务 器 配置 (Linux)。 

WWW， 包 括 虚 拟 主 机 、WWW 服务 器 配置 (Linux) 和 WWW 服务 器 的 安全 配置 。 
FTP 服务 器 ， 包 括 FTP 服务 器 的 访问 和 FTP 服务 器 的 配置 (Linux)。 


DAA 


5.1 Apache 服务 器 的 配置 


5.1.1 考点 辅导 


5.1.1.1 主 站 点 的 配置 


Apache 是 使 用 排名 世界 第 一 的 Web 服务 器 软件 , 它 可 以 运行 在 几乎 所 有 广泛 使 用 的 计 
算 机 平台 上 。 

Apache 源 于 NCSA HTTPd 服务 器 ， 经 过 多 次 修改 ， 成 为 世界 上 最 流行 的 Web 服务 器 
软件 之 一 。Apache 取 自 “a patchy server” 的 读音 ， 意 思 是 充满 补丁 的 服务 器 。 因 为 它 是 自 
由 软件 ， 所 以 不 断 有 人 来 为 它 开发 新 的 功能 、 新 的 特性 ， 并 修改 原来 的 缺陷 。Apache 的 特 
点 是 简单 、 速 度 快 、 性 能 稳定 ， 并 可 作为 代理 服务 器 来 使 用 。 

Apache 的 配置 由 httpd.conf 文件 完成 ,因此 下 面 的 配置 指令 都 是 在 httpd.conf 文件 中 


1. 基本 配置 

ServerRoot“/mnt/software/apache2”# apache 表示 软件 安装 的 位 置 。 其 他 指定 的 目录 如 
果 没 有 指定 绝对 路 径 ， 则 表示 相对 于 该 目录 。“#” 后 的 内 容 表 示 对 语句 的 解释 。 

PidFile logs/httpd.pid # 第 一 个 httpd 进程 (所 有 其 他 进程 的 父 进程 ) 的 进程 号 文件 位 置 

Listen 80 # 服 务 器 监听 的 端口 号 

ServerName www.clusting.com:80 # 主 站 点 名 称 (网 站 的 主机 名 ) 


ServerAdmin admin@clusting.com # 管 理 员 的 邮件 地 址 
DocumentRoot "/mnt/web/clusting”# 主 站 点 的 网 页 存储 位 置 


以 下 是 对 主 站 点 的 目录 进行 访问 控制 。 


<Directory "/mnt/web/clusting"> 
Options FollowSymLinks 
AllowOverride None 


Order allow,deny 
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Allow from all 


</Directory> 


在 上 面 这 段 目 录 属 性 配置 中 ， 主 要 有 以 下 选项 。 

(1) Options: 配置 特定 目录 使 用 的 相关 特性 ， 常 用 的 值 和 基本 含义 如 下 。 

ExecCGI: 在 该 目录 下 人 允许 执行 CGI 脚本 。 

FollowSymLinks: 在 该 目录 下 人 允许 文件 系统 使 用 符号 连接 。 

9 ”Indexes: 当 用 户 访问 该 目录 时 , 如 果 用 户 找 不 到 DirectoryIndex 指定 的 主页 文件 (如 
index.html)， 则 返回 该 目录 下 的 文件 列表 给 用 户 。 

9S SymLinksIfOwnerMatch: 当 使 用 符号 连接 时 ， 只 有 当 符 号 连接 的 文件 拥有 者 与 实 
际 文件 的 拥有 者 相同 时 才 可 以 访问 。 

(2) AllowOverride: 允许 可 存在 于 .htaccess 文件 中 的 指令 类 型 (.htaccess 文件 名 是 可 以 


@ 多 


改变 的 ， 其 文件 名 由 AccessFileName 指令 决定 )。 


4 None: 不 搜索 该 目录 下 的 .htaccess 文件 (可 以 减 小 服务 器 开销 )。 

% All; 在 .htaccess 文件 中 可 以 使 用 所 有 的 指令 。 

(3) Order: 控制 在 访问 时 allow 和 deny 两 个 访问 规则 哪个 优先 。 

9 allow: 允许 访问 的 主机 列表 (可 用 域名 或 子 网 ， 如 Allow from 192.168.0.0/16)。 

4 deny: 拒绝 访问 的 主机 列表 。 

以 下 是 对 首页 文件 的 格式 进行 设置 。 

DirectoryIndex index.html index.htm index.php # 主 页 文件 的 设置 (将 主页 文件 设置 为 
index.html, index.htm 和 index.php) 

2. 服务 器 的 优化 


Apache 主要 的 优势 就 是 对 多 处 理 器 的 支持 更 好 ， 在 编译 时 通过 使 用 with-mpm 选项 来 


决定 Apache 的 工作 模式 。 如 果 知 道 当前 的 Apache 使 用 什么 工作 机 制 ， 可 以 通过 httpd -1 命 
令 列 出 Apache 的 所 有 模块 ， 就 可 以 知道 其 工作 方式 。 


(1) prefork: 如 果 httpd -1 列 出 prefork.c， 则 需要 对 下 面 的 段 进行 配置 。 


<IfModule prefork.c> 

StartServers 5 # 启 动 Apache 时 启动 的 httpd 进程 个 数 

MinSpareServers 5 # 服 务 器 保持 的 最 小 空 帮 进程 数 

MaxSpareServers 10 # 服 务 器 保持 的 最 大 空闲 进程 数 

MaxClients 150 # 最 大 并 发 连接 数 

MaxRequestsPerChild 1000 # 每 个 子 进程 被 请 求 服务 多 少 次 后 被 kil11 掉 。0 表示 不 限制 ， 推 
荐 设置 为 1000 

</IfModule> 


在 该 工作 模式 下 ,服务 器 启动 后 启动 5 个 httpd 进程 (连同 父 进程 共 6 个 ,通过 ps -ax|grep 


httpd 命令 可 以 看 到 )。 当 有 用 户 连 接 时 ，Apache 会 使 用 一 个 空闲 进程 为 该 连接 服务 ， 同 时 
父 进程 会 复制 一 个 子 进 程 ， 直 到 内 存 中 的 空闲 进程 达到 MaxSpareServers 为 止 。 采用 该 模式 
可 以 兼容 一 些 旧版 本 的 程序 ， 是 默认 编译 时 的 选项 。 


(2) worker: 如 果 httpd -1 列 出 worker.c， 则 需要 对 下 面 的 段 进行 配置 。 


<IfModule worker.c> 
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StartServers 2 # 启 动 Apache 时 启动 的 httpd 进程 个 数 

MaxClients 150 # 最 大 并 发 连接 数 

MinSpareThreads 25 # 服 务 器 保持 的 最 小 空 亲 线程 数 

MaxSpareThreads 75 # 服 务 器 保持 的 最 大 空 亲 线 程 数 

ThreadsPerChild 25 # 每 个 子 进程 产生 的 线程 数 

MaxRequestsPerChild 0 # 每 个 子 进程 被 请 求 服务 多 少 次 后 被 kil11 掉 。0 表示 不 限制 ， 推 荐 设 

置 为 1000 

</IfModule> 

采用 该 模式 可 以 用 线程 来 监听 客户 的 连接 。 当 有 新 客户 连接 时 ， 由 其 中 的 一 个 空闲 线 
程 接受 连接 。 服 务 器 在 启动 时 启动 两 个 进程 ， 每 个 进程 产生 的 线程 数 是 固定 的 (由 
ThreadsPerChild 决定 )， 因 此 启动 时 有 50 个 线程 。 当 50 个 线程 不 够 用 时 ， 服 务 器 自动 fork 
一 个 进程 ， 再 产生 25 个 线程 。 

(3) perchild: 如 果 httpd -1 列 出 perchild.c， 则 需要 对 下 面 的 段 进行 配置 。 

<IfModule perchild.c> 

NumServers 5 # 服 务 器 启动 时 启动 的 子 进程 数 

StartThreads 5 # 每 个 子 进程 启动 时 启动 的 线程 数 

MinSpareThreads 5 # 内 存 中 的 最 小 空闲 线程 数 

MaxSpareThreads 10 # 最 大 空 闪 线程 数 

MaxThreadsPerChild 2000 # 每 个 线程 最 多 被 请 求 多 少 次 后 退出 。0 表示 不 限制 

MaxRequestsPerChild 10000 # 每 个 子 进程 服务 多 少 次 后 被 重新 fork。0 表示 不 限制 

</IfModule> 

该 模式 下 ， 子 进程 的 数量 是 固定 的 ， 线 程 数 不 受 限制 。 当 客户 端 连 接 到 服务 器 时 ， 由 
空闲 的 线程 提供 服务 。 如 果 空闲 线程 数 不 够 ， 子 进程 会 自动 产生 线程 来 为 新 的 连接 服务 。 
该 模式 用 于 多 站 点 服务 器 。 

3. HTTP 返回 信息 配置 

(1) ServerTokens Prod # 该 参数 设置 HTTP 头 部 返回 的 Apache 版 本 信息 ， 可 用 的 值 和 
含义 如 下 。 

4 ”Prod: 仅 软件 名 称 ， 如 Apache。 
Major: 包括 主 版 本 号 ， 如 Apache/2。 
Minor: 包括 次 版 本 号 ， 如 Apache/2.0。 
Min: 仅 Apache 的 完整 版 本 号 ， 如 Apache/2.0.54。 
OS: 包括 操作 系统 类 型 ， 如 Apache/2.0.54(UNIX)。 
Full: 包括 Apache 支持 的 模块 及 模块 版 本 号 , 如 Apache/2.0.54 (UNIX) mod_ssl/2.0.54 
OpenSSL/0.9.7g。 

(2) ServerSignature Off# 该 参数 可 以 设置 在 页 面 产生 错误 时 是 否 出 现 服务 器 版 本 信息 ， 
On 为 显示 ，Off 为 不 显示 ， 推 荐 设置 为 Off。 

4. 持久 性 连接 设置 

KeepAlive On # 开 启 持久 性 连接 功能 ， 即 当 客户 端 连接 到 服务 器 时 ， 下 载 完 数据 后 仍然 
保持 连接 状态 。 参 考 如 下 配置 代码 。 

MaxKeepAliveRequests 100 # 一 个 连接 服务 的 最 多 请 求 次 数 

KeepAliveTimeout 30 # 持 续 连接 多 长 时 间 ， 若 该 连接 没有 再 请 求 数据 ， 则 断 开 该 连接 。 默 认为 

15 秒 


ee 9 多 
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5.1.1.2 ”别名 设置 


对 于 不 在 DocumentRoot 指定 目录 内 的 页 面 ， 既 可 以 使 用 符号 连接 ， 也 可 以 使 用 别名 连 
接 。 别 名 的 设置 如 下 。 

Alias /download/"/var/www/download/”# 访 问 时 可 以 输入 http://www.custing.com/ 

download/ 

<Directory "/var/www/download"> # 对 该 目录 进行 访问 控制 设置 

Options Indexes MultiViews 

AllowOverride AuthConfig 

Order allow,deny 

Allow from all 

</Directory> 


5.1.1.3 CGI 设置 


通过 httpywww.clusting comlcgi-bin/ 可 以 访问 ScriptAlias /cgi-bin/“/mnt/software/ apache2/cgi-bin/”。 
但 是 ， 该 目录 下 的 CGI 脚本 文件 要 加 可 执行 权限 ， 设 置 如 下 。 

<Directory "/usr/local/apache2/cgi-bin"> # 设 置 目录 属性 

AllowOverride None 

Options None 

Order allow,deny 

Allow from all 

</Directory> 


5.1.1.4 ”日志 的 设置 
1. 错误 日 志 的 设置 


ErrorLog logs/error 1og # 日 志 的 保存 位 置 
LogLevel warn # 日 志 的 级 别 


显示 的 格式 如 下 。 


[Mon Oct 10 15:54:29 2005] [error] [client 192.168.10.22] access to /download/ 
failed, reason: user admin not allowed access 


2. 访问 日 志 设置 

日 志 的 默认 格式 有 如 下 几 种 。 

LogFormat "“%h %]1 %u St "%r" %>s %b "%{Referer}i" "%{User-Agent}i" " combined 
LogFormat "%h $1 Su St "%$r" $>s $b" common #common 为 日 志 格式 名 称 
LogFormat "%{Referer}i -> $U"” referer 


LogFormat "%{User-agent}i" agent 
CustomLog logs/access lo0g common 


格式 中 各 个 参数 的 意义 如 下 。 
4 %h: 客户 端的 他 地 址 或 主机 名 。 
9 %1: 由 客户 端 identd 判断 的 RFC1413 身份 ， 输 出 中 的 符号 “-” 表 示 此 处 信息 
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4 %m: 由 HITP 认证 系统 得 到 的 访问 该 网 页 的 客户 名 。 有 认证 时 才 有 效 ， 输 出 中 的 
符号 “-” 表 示 此 处 信息 无 效 。 

%t: 服务 器 完成 对 请 求 的 处 理 所 用 的 时 间 。 

“%r”: 引号 中 是 客户 发 出 的 包含 了 许多 有 用 信息 的 请 求 内 容 。 

%>s: 服务 器 返回 给 客户 端的 状态 码 。 

%b: 返回 给 客户 端的 不 包括 响应 头 的 字 节 数 。 

"%{Referer}i": 此 项 指明 了 该 请 求 是 从 哪个 网 页 提交 过 来 的 。 
 "%{User-Agent}i": 此 项 是 客户 浏览 器 提供 的 浏览 器 识别 信息 。 


5.1.1.5 ”用户 认证 的 配置 
1.httpd.conf 文件 的 配置 


假定 对 目录 /var/www/download 下 的 文件 需要 做 Apache 用 户 认证 , 则 在 httpd.conf 中 加 
入 下 面 的 代码 ; 


AccessFileName .htaccess 


AD 


Alias /download/ "/var/www/download/" 
<Directory "/var/www/download"> 
Options Indexes 

AllowOverride AuthConfig 
</Directory> 


2. create a password file 


Apache 自 带 的 htpasswd 提供 了 建立 和 更 新 存储 用 户 名 、 密 码 口令 文件 的 功能 ， 其 配置 
语句 如 下 ; 
/usr/local/apache2/bin/htpasswd -c /var/httpuser/passwords bearzhang 


Configure the server to request a password and tell the server which users 
are allowed access. 


Vi /var/www/download/.htaccess: 
AuthType Basic 

AuthName "Restricted Files" 
AuthUserFile /var/httpuser/passwords 
Require user bearzhang 

#Require valid-user #all valid user 


5.1.1.6 ”用 户 认证 的 虚拟 主机 的 配置 
1. 基于 了 地址 的 虚拟 主机 配置 
基于 卫 地 址 的 虚拟 主机 配置 代码 如 下 : 


Listen 80 

<VirtualHost 172.20.30.40> 
DocumentRoot /www/examplel 
ServerName www.examplel .com 
</VirtualHost> 
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<VirtualHost 172.20.30.50> 

DocumentRoot /www/example2 

ServerName www.example2.org 
</VirtualHost> 


2. 基于 IP 和 多 端口 的 虚拟 主机 配置 
基于 IP 和 多 端口 的 虚拟 主机 配置 代码 如 下 : 


Listen 172.20.30.40:80 
Listen 172.20.30.40:8080 
Listen 172.20.30.50:80 
Listen 172.20.30.50:8080 


<VirtualHost 172.20.30.40:80> 
DocumentRoot /www/examplel-80 
ServerName www.examplel .com 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 
DocumentRoot /www/examplel-8080 
ServerName www.examplel .com 
</VirtualHost> 


<VirtualHost 172.20.30.50:80> 
DocumentRoot /www/example2-80 
ServerName www.examplel .org 
</VirtualHost> 


<VirtualHost 172.20.30.50:8080> 
DocumentRoot /www/example2-8080 
ServerName www.example2.org 
</VirtualHost> 


3. 单个 全 地 址 的 服务 器 上 基于 域名 的 虚拟 主机 配置 
单个 瑟 地 址 的 服务 器 上 基于 域名 的 虚拟 主机 配置 代码 如 下 ; 


# Ensure that Apache listens on port 80 
Listen 80 


# Listen for Virtual host requests on all IP addresses 
NameVirtualHost *:80 


<VirtualHost *:80> 

DocumentRoot /www/examplel 

ServerName www.examplel .com 

ServerAlias examplel.com. *.examplel.com 
# Other directives here 

</VirtualHost> 


<VirtualHost *:80> 
DocumentRoot /www/example2 
ServerName www.example2.org 
# Other directives here 
</VirtualHost> 


4. 在 多 个 他 地 址 的 服务 器 上 配置 基于 域名 的 虚拟 主机 
在 多 个 人 P 地 址 的 服务 器 上 配置 基于 域名 的 虚拟 主机 的 代码 如 下 : 


Listen 80 


# This is the "main" server running on 172.20.30.40 


ServerName server.domain.com 
DocumentRoot /www/mainserver 


# This is the other address 
NameVirtualHost 172.20.30.50 


<VirtualHost 172.20.30.50> 
DocumentRoot /www/ezxamplel 
ServerName www.examplel .com 
# Other directives here ... 
</VirtualHost> 


<VirtualHost 172.20.30.50> 

DocumentRoot /www/ezxample2 

ServerName www.example2.org 
# Other directives here ... 
</VirtualHost> 


5. 在 不 同 的 端口 上 运行 不 同 的 站 点 (基于 多 端口 的 服务 器 上 配置 基于 域名 的 虚拟 主机 ) 
实现 在 不 同 的 端口 上 运行 不 同 站 点 的 配置 代码 如 下 : 


Listen 80 
Listen 8080 


NameVirtualHost 172.20.30.40:80 
NameVirtualHost 172.20.30.40:8080 


<VirtualHost 172.20.30.40:80> 
ServerName www.examplel .com 
DocumentRoot /www/domain-80 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 


ServerName www.examplel .com 
DocumentRoot /www/domain-8080 
</VirtualHost> 
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<VirtualHost 172.20.30.40:80> 
ServerName www.example2.org 
DocumentRoot /www/otherdomain-80 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 
ServerName www.example2.org 
DocumentRoot /www/otherdomain-8080 
</VirtualHost> 


6. 基于 域名 和 基于 IP 的 混合 虚拟 主机 的 配置 
基于 域名 和 基于 卫 的 混合 虚拟 主机 的 配置 代码 如 下 : 


Listen 80 
NameVirtualHost 172.20.30.40 


<VirtualHost 172.20.30.40> 
DocumentRoot /www/examplel 
ServerName www.examplel .com 
</VirtualHost> 


<VirtualHost 172.20.30.40> 
DocumentRoot /www/example2 
ServerName www.example2.org 
</VirtualHost> 


<VirtualHost 172.20.30.40> 
DocumentRoot /www/example3 
ServerName www.example3.net 
</VirtualHost> 


5.1.2 ”典型 例题 分 析 


例 1 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 3， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 公司 搭建 了 一 个 小 型 局 域 网 , 局 域 网 内 有 200 台 PC, 网 络 中 配置 一 台 Linux 
服务 器 作为 Internet 接 入 服务 器 ，Linux 服务 器 E0 网 卡 的 下 地址 为 192.168.1.1，E1 网 卡 的 
卫 地 址 为 202.100.20.30， 该 网 络 结构 如 图 5-1 所 示 。 

为 了 方便 局 域 网 卫 管理 ， 决 定 在 Linux Server 中 配置 DHCP 服务 ， 要 求 DHCP 服务 的 
配置 满足 以 下 几 个 条 件 : 

1. 考虑 今后 扩展 需求 ， 当 前 只 使 用 192.168.1.1 一 192.168.1.201 的 下 地址。 

2. PC100(MAC 地 址 为 00:A0:78:8E:9E:AA) 作 为 内 部 文件 服务 器 ， 需 要 使 用 固定 的 人 P 
地 址 为 192.168.1.100。 

3. 在 Linux Server 上 配置 DNS 服务 。 
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E0: 192 168.11 El: 202.100.20.30 


PC1 PC2 PC200 
图 5-1 网 络 结构 


【问题 1】(9 分 ) 
根据 题目 要 求 补充 完成 DHCP 服务 器 配置 文件 dhcpd.conf 的 配置 项 。 
default-lease-time 1200; 
max-lease-time 9200; 
option subnet-mask 255.255.255.0 
option broadcast-address (1); 
option routers _O) 
option domain-name-services _G) ; 
subnet _(4) netmask _(3) 
{ 
range (6) 0 ; 
{ 
host fixed { 
hardware ethernet _(8) ; 
fixed address _(9) ; 
} 
【问题 2】(4 分 ) 
根据 DHCP 协议 约定 和 问题 1 的 配置 ,DHCP 客户 端 PC1 从 获取 下地 址 后 经 过 _(10) 分 
钟 需要 到 DHCP 服务 器 申请 租约 更 新 。 此 时 PC1 发 送 到 DHCP 服务 器 的 消息 是 (LD_。 如 
果 DHCP 服务 器 同意 租约 更 新 ， 响 应 的 消息 是 _(12) 。 如 果 DHCP 服务 器 不 同意 租约 更 新 ， 
响应 的 消息 是 (13) 。 
【问题 3】(2 分 ) 
在 DHCP 客户 端 ， 还 可 以 通过 Windows 命令 _(14) 来 立即 释放 申请 到 的 他 地 址 ， 通 过 
命令 (15) 来 立即 重新 申请 租约 。 
答案 : 
【问题 1】 
(1) 192.168.1.255 (2) 192.168.1.1 (3) 192.168.1.1 (4) 192.168.1.0 
(5) 255.255.255.0 (6)192.168.1.2 (7) 192.168.1.201 
(8) 00:A0:78:8E:9E:AA (9) 192.168.1.100 
【问题 2】 
(10)10 (11)DHCPQUEST (12)DHCPACK (13)DHCPNACK 
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【问题 3】 
(14) ipconfig /release (15) ipconfig /renew 
解析 : 
【问题 1】 在 Linux 系统 中 ，DHCP 服务 的 服务 器 程序 是 dhcpd， 该 程序 以 独立 方式 启 
动 运行 ， 其 配置 文件 是 /etc/dhepd.conf， 在 这 个 文件 中 定义 了 默认 租 期 、 最 大 租 期 、 可 分 配 
的 人 P 地 址 范围 、 子 网 掩 码 以 及 网 关 、 名 字 服 务 器 等 选项 。 由 题 知 ， 指 定 广播 地 址 为 
192.168.1.255， 指 明子 网 内 的 默认 网 关 ( 即 路 由 器 ) 的 地 址 为 192.168.1.1， 在 Linux Server 上 
配置 DNS 服务 ， 故 指明 DNS 服务 器 的 地 址 为 192.168.1.1。 因 为 局 域 网 内 有 200 台 主 机 ， 
所 以 子 网 为 192.168.1.0， 子 网 掩 码 为 255.255.255.0。 考虑 今后 扩展 需求 ， 当 前 只 使 用 192.168.1.1 一 
192.168.1.201 的 全 地 址 ;因此 指明 要 分 配 的 人 地址 的 范围 从 192.168.1.2 一 192.168.1.201。 
PC100(MAC 地 址 为 00:A0:78:8E:9E:AA) 作 为 内 部 文件 服务 器 ， 需 要 使 用 固定 的 全 地 
址 为 192.168.1.100， 故 MAC 地 址 为 00:A0:78:8E:9E:AA 的 主机 配置 固定 的 IP 地 址 
192.168.1.100。 
【问题 2】 DHCP 服务 器 向 DHCP 客户 机 出 租 的 人 P 地 址 一 般 都 有 一 个 租借 期 限 ， 期 满 
后 DHCP 服务 器 便 会 收回 出 租 的 卫 地 址 。 如 果 DHCP 客户 机 要 延长 其 卫 租约 ， 则 必须 更 
新 其 全 租约 .DHCP 客户 机 启动 时 和 也 租约 期 限 过 一 半 时 ,DHCP 客户 机 都 会 自动 向 DHCP 
服务 器 发 送 更 新 其 卫 租约 的 信息 。 依 据 问题 1 的 配置 ， 可 知 指定 默认 租约 时 间 1200s， 就 
是 20 分 钟 , DHCP 客户 端 PC1 从 获取 卫 地 址 后 经 过 10 分 钟 需要 到 DHCP 服务 器 申请 租约 
更 新 。 此 时 PC1 发 送 到 DHCP 服务 器 的 消息 是 DHCPQUEST。 如 果 DHCP 服务 器 同意 租约 
更 新 ， 响 应 的 消息 是 DHCPACK。 如 果 DHCP 服务 器 不 同意 租约 更 新 ， 响 应 的 消息 是 
DHCPNACK. 
【问题 3】Windows XP 用 户 可 以 通过 ipconfig /all 命 令 看 出 自己 申请 到 的 本 机 也 地 址 ; 
使 用 ipconfig /renew 命令 重新 向 DHCP 服务 器 申请 IP 地 址 ; 使 用 ipconfig /release 命令 释放 
IP 地址。 
例 2 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 公司 搭建 了 一 个 小 型 局 域 网 ， 网 络 中 配置 一 台 Linux 服务 器 作为 公司 内 部 
文件 服务 器 和 Intemet 接 入 服务 器 ， 该 网 络 拓扑 结构 如 图 5-2 所 示 。 


E0:192.168.1.1 


Intemet 


5-2 ”网 络 拓扑 结构 
【问题 1】(5 分 ) 
Linux 的 文件 传输 服务 是 通过 vsftpd 提供 的 , 该 服务 使 用 的 应 用 层 协 议 是 _Q) 协议 , 传 
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输 层 协议 是 _(2) 协议 ， 默 认 的 传输 层 端口 号 为 3) ，vsftpd 服务 可 以 通过 命令 行 启动 或 售 
止 ， 启 动 该 服务 的 命令 是 _(4) ,停止 该 服务 的 命令 是 _(5) 。 

【问题 2】(5 分 ) 

vsftpd 程序 主 配置 文件 的 文件 名 是 _(6) 。 若 当前 配置 内 容 如 下 所 示 , 请 给 出 对 应 配置 项 
和 配置 值 的 含义 。 


listen address=192.168.1.1 
#1listen port=21 
#max per ip=10 

#max clients=1000 

anonymous enable=YES (7 
local enable=YES (8). 
write enable=YES 29: 
userlist enable=YES _(0) 


【问题 3】(2 分 ) 

为 了 使 因特网 上 的 用 户 也 可 以 访问 vsftpd 提供 的 文件 传输 服务 ， 可 以 通过 简单 地 修改 
上 述 主 配置 文件 来 实现 ， 修 改 的 方法 是 (1D 。 

【问题 4】(3 分 ) 

由 于 Linux 服务 器 的 配置 较 低 ， 希 望 限制 同时 使 用 FTP 服务 的 并 发 用 户 数 为 10， 每 个 
用 户 使 用 FTP 服务 时 建立 的 连接 数 为 5， 可 以 通过 简单 地 修改 上 述 主 配置 文件 来 实现 ， 修 
改 的 方法 是 (12) 。 

答案 : 

【问题 1】 

(DDFTP (2)TCP (3)21 (4) service vsftpd start (5) service vsftpd stop 

【问题 2】 

(6) vsftpd.conf (7) 允许 匿名 用 户 访问 (8) 允许 本 地 用 户 访问 

(9) 允许 用 户 上 传 文件 (10) 禁止 用 户 列表 文件 中 的 用 户 访问 


【问题 3】 
(11) 注释 或 删除 “listen_address=192.168.1.1” 配 置 项 
【问题 4】 


(12) 改 “#max per ip=10 ”为 “#max per ip=5”， 改 “#max clients=1000 ”为 
“#max_clients=10” 
解析 : 

【问题 1〗 FTP 主要 用 来 在 计算 机 之 间 传 输 文件 ， 工 作 在 应 用 层 ; TCP 协议 在 四 协议 
软件 提供 的 服务 的 基础 上 ， 支 持 面向 连接 的 、 可 靠 的 、 面 向 流 的 投递 服务 ， 工 作 在 传输 层 ， 
默认 传输 层 端口 号 是 21; 启动 服务 输入 命令 为 service vsftpd start; 停止 服务 输入 命令 为 
service vsftpd stop。 

【问题 2】 配置 文件 的 后 组 名 为 .conf, 故 vsftpd 程序 主 配置 文件 的 文件 名 为 vsftpd.conf。 
anonymous enable=YES 表示 允许 匿名 用 户 访问 ; local enable=YES 表示 允许 本 地 用 户 访问 ; 
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write enable=YES 表示 允许 用 户 上 传 文件 ;userlist enable=YES 表示 禁止 用 户 列表 文件 中 的 
用 户 访问 。 

【问题 3】 要 使 因特网 上 的 用 户 也 可 访问 vsftpd 提供 的 文件 传输 服务 ， 则 可 将 固定 的 
访问 地 址 删除 ， 即 注释 或 删除 “listen address=192.168.1.1” 配 置 项 。 

【问题 4】 max-per-ip 表示 每 个 客户 机 的 最 大 连接 数 ， 题 目 要 求 每 个 用 户 使 用 FTP 服 
务 时 可 建立 的 连接 数 为 5， 则 将 “#max_per ip=10” 改 为 “#pmax per ip=5”， 限 制 同时 使 用 
FTP 服务 的 并 发 用 户 数 为 10， 将 #max clients=1000” 改 为 “##mnax clients=10”。 

例 3 阅读 以 下 说 明 , 回答 问题 1 至 问题 4, 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2011 
年 下 半年 下 午 试题 二 ) 

【说 明 】 如 图 5-3 所 示 ， 某 公司 办 公 网 络 划分 为 研发 部 和 销售 部 两 个 子 网 ， 利 用 一 台 

双 网 卡 Linux 服务 器 作为 网 关 ， 同 时 在 该 Linux 服务 器 上 配置 Apache 提供 Web 服务 。 
销售 部 


eth0 
PC1:192.168.1.2 PC2:192.168.1.3 


Linu eth1:192.168.1.254 
忆 服务 器 
PC1:192.168.1.129 Pct:192.168.1.130 


研发 部 


5-3 ”网 络 规划 图 


【问题 1】 
图 5-4 是 Linux 服务 器 中 网 卡 eth0 的 配置 信息 ,从 图 中 可 以 得 知 :中 处 输入 的 命令 是 (D ， 
eth0 的 他 地 址 是 (2) ， 子 网 掩 码 是 (3) ， 销 售 部 子 网 最 多 可 以 容纳 的 主机 数 是 (4) 。 


[rootelocalhost conf]#_@ 
eth0 Link encap:Ethernet Hwaddr 00:29:C8:0D:10 
inet addr:192.168.1.126 Bcast:192.168.1.255 
Mask:255.255.255.128 
UP HROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:1667 errors:0 dropped:0 overruns:0 frame:0 
TX packets:22 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 
RX bytes:291745(284.9KB) TX bytes:924(924.0b) 
Interrupt:10 Base address:0xl0ad4 


5-4 eth0 的 配置 信息 


【问题 2】 
Linux 服务 器 配置 Web 服务 之 前 ,执行 命令 [root@rootjrpm-qalgrep httpd 的 目的 是 _(5) 。 
Web 服务 器 配置 完成 后 ， 可 以 用 命令 _(6) 来 启动 Web 服务 。 


[本 
上 HH 
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【问题 3】 

默认 安装 时 ，Apache 的 主 配置 文件 名 是 _(7) ， 该 文件 所 在 目录 为 _(8) 。 
配置 文件 中 下 列 配 置信 息 的 含义 是 _(9) 。 

<Directory " /var/www/html/secure"> 

AllowOverride AuthConfig 

Order deny allow 

Allow from 192.168.1.2 

Deny from all 


</Directory> 


【问题 4】 
Apache 的 主 配置 文件 中 有 一 行 Listen 192.168.1.126:80， 其 含义 是 (10) 。 
启动 Web 服务 后 , 仅 销售 部 的 主机 可 以 访问 Web 服务 。 在 Linux 服务 器 中 应 如 何 配置 ， 
方 能 使 研发 部 的 主机 也 可 以 访问 Web 服务 ? 
答案 : 
【问题 1】 
(1) 这 onfig eth0 或 ifconfig 
(2) 192.168.1.126 
(3)' 255:233:233:128 
(4) 125 
【问题 2】 
(5) 确认 Apache 软件 包 是 否 已 经 成 功 安装 
(6) service httpd start 
【问题 3】 
(7) httpd.conf 
(8) /etc/httpd/conf 
(9) 目录 “/var/www/html/secure” 只 人 允许 主机 192.168.1.2 访问 
【问题 4】 
(10) 提供 Web 服务 的 地 址 是 192.168.1.126， 端 口 是 80 
将 Apache 主 配 置 文件 中 的 配置 “Listen 192.168.1.126:80” 修 改 为 “Listen 80”， 或 者 
增加 从 研发 部 网 络 到 销售 部 网 络 的 路 由 。 
解析 : 
【问题 1】 配置 主机 网 络 接口 命令 为 ionfig。 
程序 /sbin/ifconfig 用 来 配置 主机 网 络 接口 。 这 包括 基本 的 配置 ， 如 IP 地 址 、 掩 码 和 广 
播 地 址 ， 以 及 高 级 的 选项 ， 如 为 点 对 点 连接 (如 PPP 连接 ) 设 置 远程 地 址 。 
一 个 接口 可 以 在 不 进行 重新 配置 的 情况 下 临时 地 变 为 不 可 用 和 再 变 为 可 用 。 接 口 可 以 
用 于 将 服务 器 的 网 络 连接 临时 变 为 不 可 用 ( 当 重 新 配置 一 个 服务 时 )。 使 用 下 列 命令 可 实现 本 
功能 。 
ifconfig interface down 关闭 接口 
ifconfig interface ip-address up 启动 接口 
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图 5-4 中 显示 以 太 网 接口 地 址 为 192.168.1.126， 子 网 掩 码 为 255.255.255.128。 

由 于 销售 部 的 以 太 网 接口 地 址 为 192.168.1.126， 而 192.168.1.1 不 能 用 ， 所 以 其 可 用 地 
址 范围 为 192.168.1.2 一 192.168.1.126， 可 连接 主机 数 为 125 台 。 

【问题 2】 “|” 是 Linux 很 有 用 的 一 个 用 法 ， 俗 称 管道 ， 可 把 一 个 命令 的 输出 作为 下 
个 命令 的 输入 。 

rmp -qa 中 的 “-q” 表 示 查 找 ; “-a” 表示 all( 所 有 ); grep 为 正则 表达 匹配 ; 所 以 ， 这 
个 命令 的 含义 就 是 “查找 所 有 和 HTTPD 服务 相关 的 >， 即 列 出 所 有 装配 的 软件 。 

Apache 的 启动 命令 为 service httpd start。 

【问题 3】 Apache 的 主 配置 文件 名 是 httpd.conf， 该 文件 所 在 目录 为 /etc/httpd/conf。 

<Directory "/var/www/html/secure"> 指 进入 此 目录 ; AllowOverride AuthConfig 即 允 许 该 
目录 对 AuthConfig 属性 进行 覆盖 ; 后 面 几 名 即 允 许 指定 全 访问 ， 而 不 允许 其 他 下 访问 。 
所 以 语句 的 整体 意思 为 目录 “/var/www/html/secure” 只 允许 主机 192.168.1.2 访问 。 

【问题 4】 Listen 语句 的 意思 是 允许 将 Apache 绑 定 到 指定 的 卫 地址 和 端口 ， 作 为 默 
认 值 的 辅助 选项 。 则 其 含义 为 提供 Web 服务 的 地 址 是 192.168.1.126， 端 口 是 80。 

启动 Web 服务 后 ， 仅 销售 部 的 主机 可 以 访问 Web 服务 ， 要 使 研发 部 的 主机 也 可 以 访问 
Web 服务 ， 则 需要 增加 从 研发 部 网 络 到 销售 部 网 络 的 路 由 ， 或 者 将 主 配 置 文件 中 的 配置 

“Listen 192.168.1.126:80” 修 改 为 “Listen 80”。 

例 4 阅读 以 下 说 明 , 回答 问题 1 至 问题 4, 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2011 
年 上 半年 下 午 试题 二 ) 

【说 明 】 Linux 系统 有 其 独特 的 文件 系统 ext2， 文 件 系统 包括 文件 的 组 织 结构 、 处 理 
文件 的 数据 结构 及 操作 文件 的 方法 。 可 以 通过 命令 获取 系统 及 磁盘 分 区 状态 信息 ， 并 能 对 
其 进行 管理 。 

【问题 1】(6 分 ) 

以 下 命令 中 ， 改 变 文件 所 属 群 组 的 命令 是 _(D _， 编 辑 文件 的 命令 是 _(2) _， 查 找 文 
件 的 命令 是 _(3) 。 

(一 (3) 备 选 答案 : 

A.chmod B. chgrp CN D. which 
【问题 2】(2 分 ) 
在 Linux 中 ， 伪 文件 系统 _(4) 只 存在 于 内 存 中 ， 通 过 它 可 以 改变 内 核 的 某 些 参 数 。 
A. /proe B. ntfs C./tmp D. /etc/profile 

【问题 3】(4 分 ) 

在 Linux 中 ， 分 区 分 为 主 分 区 、 扩 展 分 区 和 逻辑 分 区 ， 使 用 fdisk -1 命令 获得 的 分 区 信 
息 如 下 所 示 。 


Disk /dev/hda:240 heads, 63 sectors，140 cylinders 
Units=cylinders of 15120 * 512 bites 


Device Boot Start End Blocks Id System 
/dev/hda 1 286 2162128+ Cc Win95 FAT32 (LBA) 
/dev/hda2 * 288 1960 12496680 5 Extended 
/dev/hda5 288 289 15088+ 83 Linux 
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/dev/hda6 290 844 4195768+ 83 Linux 
/dev/hda7 845 983 1050808+ 82 Linux swap 
/dev/hda8 984 1816 6297448+ 83 Linux 
/dev/hda9 1817 1940 937408+ 83 Linux 


其 中 ， 属 于 扩展 分 区 的 是 _ (5) 。 
使 用 df -T 命令 获得 的 信息 部 分 如 下 所 示 。 


Filesystem Type 1k Blocks Used Avallable Uses Mounted on 
/dev/hda6 relserfs 4195632 2015020 2180612 49% 水 
/dev/hda5 ext2 14607 3778 10075 8% /boot 
/dev/hda9 relserfs 937372 202368 735004 22% /home 
/dev/hda8 relserfs 6297248 3882504 2414744 62% /opt 
Shmfs shm 256220 0 256220 0% /dev/shm 
/dev/hdal vfat 2159992 1854192 305800 86% /windows/c 


其 中 ， 不 属于 Linux 系统 分 区 的 是 _(6) _。 

【问题 4】(3 分 ) 

在 Linux 系统 中 ， 对 于 _(7) 文件 中 列 出 的 Linux 分 区 ， 系 统 启 动 时 会 自动 挂 载 。 此 
外 ， 超 级 用 户 可 以 通过 _(8) “命令 将 分 区 加 载 到 指定 目录 ， 从 而 该 分 区 才 在 Linux 系统 中 
可 用 。 

答案 : 

【问题 1】 

(DB QC G)D 

【问题 2】 

(9)A 

【问题 3】 

(5)/dev/hda2 (6) Shmfs 

【问题 4】 

(7) /etc/fstab (8) mount 

解析 : 

【问题 1〗】 改 变 文 件 所 属 群 组 的 命令 是 chown 或 者 chgrp, 其 中 chgrp 是 专门 改 群 组 的 。 
编辑 文件 的 命令 是 vi。(3) 中 which 应 该 是 查找 命令 的 可 执行 文件 所 在 的 位 置 。 

【问题 2〗】 proc 文件 系统 是 一 个 伪 文 件 系统 ， 它 只 存在 于 内 存 中 ， 而 不 占用 外 存 空间 。 
它 以 文件 系统 的 方式 为 访问 系统 内 核 数 据 的 操作 提供 接口 。 用 户 和 应 用 程序 可 以 通过 proc 
得 到 系统 的 信息 ， 并 可 以 改变 内 核 的 某 些 参 数 。 由 于 系统 的 信息 ， 如 进程 ， 是 动态 改变 的 ， 
所 以 用 户 或 应 用 程序 读 取 proe 文件 时 ，proc 文件 系统 是 动态 地 从 系统 内 核 读 出 所 需 信 息 并 

【问题 3】 

(5) 的 答案 可 以 在 图 中 找 出 ，hda2 后 面 写 的 是 Extended。 

(6) 中 的 Shmfs 文件 系统 是 一 种 内 存 共 享 模式 的 文件 系统 。 

【问题 4】 本 题 考 查 Linux 文件 系统 常识 和 基本 操作 命令 。 

在 Linux 系统 中 ， 对 于 /etc/fstab 文件 中 列 出 的 Linux 分 区 ， 系 统 启动 时 会 自动 挂 载 。 此 
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外 ， 超 级 用 户 可 以 通过 mount 命令 将 分 区 加 载 到 指定 目录 ， 从 而 该 分 区 才 在 Linux 系统 中 
可 用 。 


5.1.3 同步 练习 


阅读 以 下 关于 在 Linux 系统 中 配置 Apache 服务 器 的 说 明 ， 回 答 问 题 1 至 问题 3， 将 解 
答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 在 Linux 系统 中 采用 Apache 配置 Web 服务 器 。Apache 服务 器 提供 了 丰富 的 
功能 ， 包 括 目录 索引 、 目 录 别 名 、 虚 拟 主机 、HTTP 日 志 报告 、CGI 程序 的 SetUID 执行 等 。 
【问题 1】(6 分 ) 
请 在 (D)~(4) 空 白 处 填写 恰当 的 内 容 。 
Web 客户 机 与 服务 器 共同 遵守 _(1) 协议 ， 其 工作 过 程 是 ，Web 客户 端 程序 根据 输入 的 
_ (2) 连接 到 相应 的 Web 服务 器 上 ， 并 获得 指定 的 Web 文档 。 动 态 网 页 以 _(3) 程序 的 形 
式 在 服务 器 端 处 理 ， 并 给 客户 端 返回 _(4) 格式 的 文件 。 


(D 一 ( 备 选 答案 : 
A. HTML B. ASP C.JSP D.IS 
E. SOAP F. URL G. HTIP H. VGA 


【问题 2】(7 分 ) 
请 在 (5)~(11) 空 白 处 填写 恰当 的 内 容 。 
Apache 的 主 配置 文件 为 httpd.conf。 某 Web 服务 器 的 httpd.conf 文件 部 分 内 容 如 下 。 


ServerType standalone 
ServerRoot "/etc/httpd" 

Timeout 300 

KeepAlive On 
MaxKeepAliveRequests 100 
KeepAliveTimeout 15 
MinSpareServer 5 

MaxSpareServer 20 

StartServer 8 

MaxClients 150 
MaxRequestsPerChild 100 

Port 8080 

User nobody 

Group nobody 

ServerAdmin root@webtest.com.cn 
ServerName WebText 

DocumentRoot "/home/webtest/jakarta-tomcat/webapps/webtest" 
Options FollowSymLinks 
AllowOverride None 

Options Indexes Includes FollowSymLinks 
AllowOverride None 

Order allow,deny 
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Allow from all 

DirectoryIndex index.html index.htm index.shtml index.cgi 
Alias/doc//usr/doc 

order deny,allow 

deny from all 

allow from localhost 

Options Indexes FollowSymLinks 


以 RPM 方式 安装 的 Apache 服务 器 ， 配 置 文 件 httpd.conf 存储 在 Linux 的 _(5) 目录 下 。 
根据 上 述 配置 文件 , 该 Web 服务 器 运行 在 _(6) 模式 下 ， 其 运行 效率 比 在 inetd 模式 下 _(7D) ; 
当 某 个 Web 连接 超过 _(8) 秒 没有 数据 传输 时 ， 系 统 断 开 连 接 。 

如 果 客 户 需要 访问 Linux 服务 器 上 的 /usr/doc 目录 ， 

则 应 在 浏览 器 地 址 栏 中 输入 _(9) 。 

虚拟 主机 是 指 在 同一 服务 器 上 实现 多 个 Web 站 点 。 
虚拟 主机 可 以 是 基于 IP 地 址 的 虚拟 主机 ， 也 可 以 是 基于 
_(10) 的 虚拟 主机 。 创 建 基于 _(10) 的 虚拟 主机 时 ， 还 需 


回 IncludesNOEXEC 


要 配置 (11) ， 并 在 数据 库 文件 中 添加 相关 记录 。 DD nds | 
【问题 3】(2 分 ) Synlinks lOwmaMaldy 


图 5-5 是 配置 Apache 服务 器 的 一 个 对 话 框 ， 选 中 目 设立 默认 日 录 选 项 
录 选 项 ExecCGI， 意 味 着 什么 ? 
尺 确定 
如 果 将 图 5-5 所 示 的 目录 选项 中 Indexes 的 选中 状态 [eae | 
取消 , 并 且 虚 拟 主 机 目录 中 也 没有 相关 的 Index 文件 , 客 5.5 “目录 选项 ”对 活 杠 
户 机 通过 浏览 器 访问 有 关 的 虚拟 主机 目录 时 有 何 结果 ? 


5.1.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(DG OF GC GOA 

【问题 2】 

(5) /etc/httpd/conf (6) standalone (7) 高 (8) 300 

(9) http:// 服 务 器 瑟 地 址 (或 主机 名 ):8080/doe/ 

(10) 名 称 (或 名 字 ， 域 名 ) 

(11) DNS 或 域名 解析 服务 

【问题 3】 

选中 目录 选项 ExceCGI， 意 味 着 准许 执行 CGI。 

如 果 将 Indexes 选中 状态 取消 ， 则 不 允许 客户 机 浏览 器 在 虚拟 主机 没有 Index 文件 时 显 
示 目 录 所 有 文件 。 
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5.2 DNS 服务 器 的 配置 


5.2.1 考点 辅导 


5.2.1.1 DNS 服务 器 的 类 型 


在 Linux 中 ,域名 服务 (DNS) 是 由 柏 克 莱 网 间 域 名 (Berkeley Internet Name Domain, BIND) 
软件 实现 的 。BIND 是 一 个 客户 /服务 系统 ， 它 的 客户 方面 称 为 转换 程序 (Resolver)， 它 产生 
域名 信息 的 查询 ， 将 这 类 信息 发 送 给 服务 器 ，DNS 软件 回答 转换 程序 的 查询 。BIND 的 服 
务 方面 是 一 个 称 为 named 的 守护 进程 。 

BIND 可 以 配置 成 以 几 种 不 同 的 方法 运行 的 DNS ,常见 的 BIND 配 置 是 唯 转换 程序 系统 、 
唯 高 速 缓存 服务 器 、 主 服务 器 和 辅助 域名 服务 器 。 

4 ”了 唯 转换 程序 系统 ， 转 换 程序 是 一 段 要 求 域名 服务 器 提供 域 信息 的 程序 ， 在 Linux 
系统 中 ， 它 是 作为 一 个 库 程序 来 实现 的 ， 而 不 是 一 个 单独 的 客户 程序 。 在 唯 转换 
程序 系统 中 ， 仅 使 用 转换 程序 ， 并 不 运行 域名 服务 器 。 这 种 系统 是 很 容易 配置 的 ， 
最 多 只 需要 设置 /etc/resolv.conf 文件 , 其 他 三 个 BIND 配置 选项 都 是 用 于 named 服 
务 软件 的 。 

% ” 唯 高 速 缓存 服务 器 : 唯 高 速 缓 存 服 务 器 (Caching-only Server) 可 运行 域名 服务 器 软 
件 ， 但 是 它 本 身 没有 域名 数据 库 软件 。 它 从 某 个 远程 服务 器 上 取得 每 次 域名 服务 
器 查询 的 回答 ， 一 旦 取得 一 个 答案 ， 就 将 它 放 在 高 速 缓存 中 ， 以 后 查询 相同 的 信 
息 时 就 用 它 予以 回答 。 所 有 的 域名 服务 器 都 按 这 种 方式 使 用 高 速 缓存 中 的 信息 ， 
但 唯 高 速 缓存 服务 器 则 依赖 于 这 一 技术 提供 所 有 的 域名 服务 器 信息 。 唯 高 速 绥 存 
服务 器 不 是 权威 性 服务 器 ， 因 为 它 提供 的 所 有 信息 都 是 间接 信息 。 对 于 唯 高 速 组 
存 服务 器 通常 只 需要 配置 一 个 高 速 缓存 文件 ， 但 最 常见 的 配置 还 包括 一 个 回 送 文 
件 ， 这 或 许 才 是 最 常见 的 域名 服务 器 配置 ， 接 着 是 唯 转换 程序 配置 ， 它 是 最 容易 
配置 的 ， 在 5.2.1.3 节 将 会 详细 介绍 。 

9 主 服 务 器 : 主 服务 器 (Primary Name Server) 是 特定 域 所 有 信息 的 权威 性 信息 源 。 它 
从 域 管理 员 构 造 的 本 地 磁盘 文件 中 加 载 域 信息 , 该 文件 (区 文件 ) 包 含 主 服 务 器 中 具 
有 管理 权 的 一 部 分 域 最 精确 的 结构 信息 。 主 服务 器 是 一 种 权威 性 服务 器 ， 因 为 它 
以 绝对 的 权威 去 回答 对 它 域 的 任何 查询 。 配 置 主 服务 器 需要 一 整套 配置 文件 ， 包 
括 正规 域 的 区 文件 (named.hosts)、 反 向 域 的 区 文件 (named.rev)、 引 导 文 件 
(named.conf、 高 速 缓存 (named.ca) 和 回 送 文件 (named.local))， 其 他 的 配置 都 不 需要 
这 样 一 整套 文件 。 

4 ”辅助 域名 服务 器 : 辅助 域名 服务 器 (Secondary Name Server) 可 从 主 服务 器 中 转移 一 
整套 域 信息 。 区 文件 是 从 主 服务 器 中 转移 出 来 的 ， 并 作为 本 地 磁盘 文件 存储 在 畏 
助 服务 器 中 。 这 种 转移 称 为 “区 文件 转移 ”。 在 辅助 域名 服务 器 中 有 一 个 所 有 域 
信息 的 完整 备份 ， 可 以 有 权威 地 回答 对 该 域 的 查询 ， 因 此 ， 辅 助 域名 服务 器 也 称 


在 一 起 
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作 权 威 性 服务 器 。 配 置 辅助 域名 服务 器 不 需要 生成 本 地 区 文件 ， 因 为 可 以 从 主 服 
务 器 下 载 该 区 文件 。 然 而 其 他 的 文件 却 是 需要 的 ， 包 括 引导 文件 、 高 速 缓存 文 件 
和 回 送 文件 。 
个 域名 服务 器 可 以 是 这 类 配置 中 的 任何 一 种 ， 但 经 常 是 将 多 种 配置 类 型 的 元 素 组 合 
， 所 有 的 系统 都 要 运行 转换 程序 。 


5.2.1.2 ”配置 转换 程序 


使 
中 获取 
用 的 一 
I; 


用 DNS 的 第 一 步 是 在 用 户 的 计算 机 上 配置 转换 程序 ， 即 让 机 器 能 够 从 DNS 服务 器 
域名 解析 / 反 解 析 服务 。 转 换 程序 不 是 一 个 单独 而 明确 的 处 理 进程 ， 而 是 网 络 进程 调 
个 标准 C 程序 库 。 如 果 本 地 系统 不 运行 named， 就 必须 配置 本 地 转换 程序 。 


转换 程序 控制 文件 /etc/host.conf 


/etc/host.conf 是 用 来 控制 本 地 转换 程序 文件 的 设置 文件 。 该 文件 告诉 转换 程序 使 用 哪些 
服务 、 按 照 什 么 顺序 进行 。 该 文件 的 字段 可 以 用 空格 或 制 表 符 分 隔 。 字 符 “# ”表示 注释 行 。 
/etc/host.conf 文件 的 配置 选项 如 下 。 


人 


人 


下 


# 
# 


order: 指定 按照 哪 种 顺序 来 尝试 不 同 的 名 字 解 析 机 制 ， 按 列 出 的 顺序 来 进行 指定 
的 解析 服务 ， 支 持 下 面 的 名 字 解 析 机 制 。 
@ ”hosts: 试图 通过 查找 本 地 /ete/hosts 文件 来 解析 主机 名 字 。 
@ ”bind: 使 用 DNS 域名 服务 器 来 解析 主机 名 字 。 
@ nis: 使 用 网 络 信息 服务 NIS) 协 议 来 解析 主机 名 字 。 
multi; 以 off 和 on 为 参数 。 与 host 查询 一 起 使 用 ， 用 来 确定 一 台 主 机 是 否 在 
/etc/hosts 文件 中 指定 了 多 个 全 地 址 。 
nospoof: 如 果 用 逆向 解析 找 出 与 指定 的 地 址 匹配 的 主机 名 ， 就 可 以 对 返回 的 地 址 
进行 解析 以 确认 它 确实 与 查询 的 地 址 相配 。 为 了 防止 “骗取 ”IP 地 址 ， 可 通过 指 
定 nospoof on 来 允许 逆向 解析 功能 。 
alert， 以 of 和 on 为 参数 。 如 果 打 开 ， 任 何 试图 骗取 IP 地 址 的 行为 都 通过 syslog 
工具 被 记录 下 来 。 
trim: 以 域名 为 参数 。 在 /ete/hosts 中 查找 名 字 前 ，trim 删除 这 个 域名 ， 只 把 基本 主 
机 名 放 在 /ete/host.conf 中 而 不 指定 域名 。 

面 这 个 例子 是 主机 vlager 上 的 /ete/host.conf 文件 。 


/etc/host.conf 
We have named running, but no NIS (yet) 


order bind hosts 


# 


Allow multiple addrs 


multi on 


# 


Guard against spoof attempts 


nospoof on 


# 


Trim local domain (not really necessary). 


trim vbrew.com. 


这 个 例子 给 出 了 域 vbrew.com 的 通用 解析 程序 配置 。 该 解析 程序 首先 使 用 DNS 解析 ， 
然后 使 用 /ete/hosts 文件 查找 主机 名 。 在 解析 查找 中 指定 本 地 /etc/hosts 文件 是 一 个 好 主意 。 
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如 果 由 于 某 种 原因 不 能 使 用 域名 服务 器 ， 那 么 还 可 以 使 用 主机 文件 中 列 出 的 那些 主机 名 。 
该 机 器 上 允许 使 用 多 个 IP 地 址 ， 主 机 通过 重新 解析 主机 名 字 ( 从 TP 地 址 逆向 查找 返回 的 主 
机 名 字 ) 来 检查 人 P 欺骗 。 

2. 转换 程序 配置 文件 /etc/resolv.conf 


当 配 置 转换 程序 使 用 BIND 域名 服务 查询 主机 时 ， 必 须 告诉 转换 程序 使 用 哪 一 个 域名 
服务 器 。 用 来 完成 这 项 任务 的 工具 就 是 /etc/resolv.conf 文件 。/etc/resolv.conf 控制 转换 程序 采 
用 DNS 解析 主机 名 时 使 用 的 方式 ， 可 以 明确 地 定义 系统 的 配置 ， 允 许 命名 由 于 默认 服务 器 
不 响应 而 使 用 的 备份 服务 器 。 因 此 ， 尽 管 会 增加 系统 负荷 ， 但 在 某 些 场合 使 用 resolv.conf 
还 是 很 受 欢迎 的 。 

/etc/resolv.conf 是 一 个 简单 而 易 读 的 文件 。 在 /ete/resolv.conf 中 使 用 的 命令 , 具有 系统 专 
用 的 形式 ， 但 一 般 都 支持 nameserver 和 domain 两 项 命令 。 

nameserver 项 利用 IP 地 址 去 识别 ， 让 转换 程序 识别 查询 域 信息 的 那些 服务 器 。 可 以 通 
过 多 次 使 用 nameserver 选项 ， 使 用 多 达 三 个 域名 服务 器 。 这 些 域名 服务 器 是 按照 它们 在 文 
件 中 的 顺序 进行 查询 的 ， 如 果 没 有 接收 到 任何 一 个 服务 器 的 响应 ， 则 尝试 表 中 的 下 一 个 服 
务 器 ， 直 到 所 有 服务 器 试 完 为 止 ( 如 果 在 /etc/resolv.conf 文件 中 设置 了 三 个 以 上 的 域名 服务 
器 ， 那 么 即使 前 三 个 服务 器 都 没有 响应 查询 请 求 ，Linux 也 不 会 去 请 求 后 面 的 服务 器 )。 应 
该 将 最 可 靠 的 域名 服务 器 列 在 最 前 面 ， 以 便 在 查询 时 不 会 超时 。 如 果 resolv.conf 文件 中 不 
包含 nameserver 项 ， 或 者 不 存在 resolv.conf 文件 ， 就 将 所 有 域名 服务 器 查询 发 送 给 本 地 主 
机 。 然 而 ， 如 果 有 一 个 resolv.conf 文件 ， 它 包含 nameserver 项 ， 除 非 有 一 项 指向 本 地 主机 ， 
否则 就 不 查询 本 地 主机 。 在 配置 唯 转换 程序 的 主机 中 ，resolv.conf 文件 包含 nameserver 项 ， 
但 没有 一 个 项 指向 本 地 主机 。 

domain 项 用 来 定义 默认 域名 (主机 的 本 地 域名 )。 转 换 程序 会 将 默认 域名 挂 在 任何 不 含 点 
的 主机 名 后 面 。 例 如 ， 转 换 程序 接收 到 主机 名 vale( 它 不 含 点 )， 就 将 其 默认 域名 挂 接 在 vale 
的 后 面 ， 对 它 进行 查询 。 如 果 domain 域 中 的 name 值 是 vbrew.com， 那 么 转换 程序 就 将 查询 
vale.vbrew.com。 如 果 没 有 找 出 它 ， 则 转换 程序 就 试图 通过 getdomainname() 系 统 调用 来 获得 


本 地 域名 。 
如 果 听 起 来 让 人 迷惑 不 解 ,可 以 看 看 下 面 这 个 例子 ,这 是 Virtual Brewery 中 的 resolv.conf 
文件 。 


# /etc/resolv.conf 

# Our domain 

domain vbrew.com 

# 

# We use vlager as central nameserver: 
nameserver 191.72.1.1 


在 该 例 中 ， 通 过 domain 项 指定 默认 域名 ， 并 列 出 一 个 用 于 解析 主机 名 的 域名 服务 器 。 
在 这 个 例子 中 没有 指定 查询 顺序 (使 用 search 选项 )， 因 此 如 果 要 查询 一 台 机 器 的 地 址 (如 
vale)， 解 析 器 会 首先 试图 查找 vale， 如 果 没 有 找到 ， 则 查找 vale.vbrew.com， 然 后 再 查找 


Vbrew.com。 
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5.2.1.3” 唯 转换 程序 配置 
配置 唯 转换 程序 是 非常 简单 的 ， 下 面 是 一 个 唯 转换 程序 的 /etc/resolv.conf 文件 的 例子 。 


# /etc/resolv.conf 

# Our domain 

domain vbrew.com 

# 

# We use vlager as central nameserver: 
nameserver 191.72.1.1 

# next try vale 

namesever 191.72.1.3 


该 配置 文件 告诉 转换 程序 将 所 有 的 查询 发 送 给 主 域名 服务 器 vlager， 如 果 失 败 ， 就 斌 
vale。 这 些 查询 是 永远 不 能 在 本 地 转换 的 。 这 一 个 简单 的 resolv.conf 文件 就 可 以 满足 唯 转换 
程序 配置 的 全 部 要 求 。 


5.2.1.4 设置 域名 服务 器 


在 Linux 上 的 域名 服务 是 由 named 守护 进程 来 执行 的 ，named 最 早 是 为 BSD 向 客户 机 
提供 域名 服务 而 开发 的 。named 守护 进程 通常 在 系统 启动 时 开始 工作 , 并 一 直 工作 到 系统 关 
闭 。 该 进程 从 被 称 作 /etc/named.boot 的 配置 文件 中 获取 有 关 信息 ， 并 将 主机 名 映射 为 卫 地 
址 的 各 种 文件 。 

只 要 在 命令 行 中 输入 # /ete/re.d/init.d/named start named 就 会 开始 运行 , 读 取 named.boot 
文件 及 其 定义 的 任意 区 文件 , 并 将 它 的 进程 ID 以 ASCI 码 的 形式 写 入 /var/run/named.pid 中 ， 
下 载 任何 来 自主 服务 器 的 区 文件 ， 如 果 有 必要 的 话 在 端口 53 等 待 DNS 请 求 。 

下 面 介绍 与 DNS 有 关 的 几 个 配置 文件 以 及 它们 的 功能 。 

4 named.conf: 设置 一 般 的 named 参数 ,指向 该 服务 器 使 用 的 域 数据 库 信息 的 源 ， 这 
类 源 可 以 是 本 地 磁盘 文件 或 远程 服务 器 。 
named.ca: 指向 根 域名 服务 器 。 
named.local: 用 于 在 本 地 转换 回 送 地 址 。 
named.hosts: 将 主机 名 映射 为 他 地 址 。 
namedrev: 用 于 反 向 域 的 、 将 中 地址 映射 到 主机 名 的 区 文件 。 

理解 不 同 配置 的 最 佳 方法 是 讨论 各 种 named.conf 的 示例 文件 。 

1. 唯 高 速 缓存 服务 器 的 配置 

配置 唯 高 速 缓存 域名 服务 器 是 很 简单 的 ， 必 须 有 named.conf 和 named.ca 文件 ， 通 常 也 
要 用 到 named.local 文件 。 下 面 是 用 于 唯 高 速 缓存 服务 器 的 named.conf 文件 的 例子 ， 其 中 以 

“/” 开 头 的 是 注释 。 


// generated by named-bootconf.pl 


4 
人 
M4 
M4 


options { 

directory "/var/named"; 

/* 

* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 
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* directive below. Previous versions of BIND always asked 

* questions using port 53, but BIND 8.1 uses an unprivileged 

* port by default. 

x 

// query-source address * port 53; 

}; 

i 

// a caching only nameserver config 

// 

Zone "." { 

type hint; 

file "named.ca" 7 

Be 

Zone "0.0.127.in-addr.arpa" { 

type master; 

file "named.local"; 

}; 

directory 这 一 行 告诉 named 到 哪里 去 找寻 文件 ， 所 有 其 后 命名 的 文件 都 是 相对 于 此 目 
录 的 。 该 文件 告诉 named 维持 一 个 域名 服务 器 响应 的 高 速 缓存 ， 并 利用 named.ca 文件 的 内 
容 初始 化 该 高 速 缓存 。 该 高 速 缓存 初始 化 文件 的 名 字 可 以 是 任何 名 字 ， 但 一 般 使 用 
/var/named/named.ca。 并 不 是 在 该 文件 中 使 用 一 个 hint 语句 就 能 使 它 成 为 唯 高 速 缓存 配置 ， 
而 是 因为 没有 master 和 slave 语句 才 使 它 成 为 一 个 唯 高 速 缓存 配置 文件 。 

但 是 ， 在 这 个 例子 中 却 有 一 个 master 语句 。 事 实 上 ， 几 乎 在 每 一 个 唯 高 速 缓存 的 配置 
文件 中 都 有 这 一 语句 ， 它 将 本 地 服务 器 定义 为 它 自己 的 回 送 域 的 主 服务 器 ， 并 假定 该 域 的 
信息 存储 在 named.local 文件 中 。 这 个 回 送 域 是 一 个 in-addr.arpa 域 (in-addr.arpa 域 用 于 指定 
逆向 解析 ， 或 卫 地 址 到 DNS 名 字 解 析 )， 它 将 地 址 127.0.0.1 映射 为 名 字 localhost。 转 换 自 
己 的 回 送 地 址 对 于 大 多 数 人 都 是 有 意义 的 ， 因 为 许多 named.conf 文件 都 包含 这 一 项 。 

在 大 多 数 唯 高 速 缓存 服务 器 的 配置 文件 中 , 这 种 directory、master 和 hint 语句 是 唯一 使 
用 的 语句 ， 但 也 可 以 增加 其 他 的 语句 ， 比 如 forwarders 和 slave 等 语句 都 可 以 使 用 。 


2. 主 服务 器 和 辅助 服务 器 的 配置 


我 们 虚构 的 vbrew.com 用 于 说 明 主 服 务 器 和 辅助 服务 器 的 基础 ， 下 面 是 将 vlager 定义 
为 vbrew.com 域 主 服务 器 的 named.conf 文件 。 


// generated by named-bootconf.pl 


options { 

directory "/var/named"; 

/* 

* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 

* directive below. Previous versions of BIND always asked 

* questions using port 53, but BIND 8.1 uses an unprivileged 
* port by default. 

ey 

// query-source address * port 53; 
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// a caching only nameserver config 


Zone "." { 
type hint; 
file "named.ca"; 


Zone "vbrew.com"t{ 
type master; 
file "named.hosts"; 


zone "0.0.127.in-addr.arpa" { 
type master; 
file "named.local"; 


zone "72.191.in-addr.arpa"{ 
type master; 
file "named.rev"; 

}; 

上 例 中 第 一 个 master 说 明 这 是 vbrew.com 域 的 主 服务 器 。 该 域 的 数据 是 从 named.hosts 
文件 中 加 载 的 。 在 这 个 例子 中 ， 我 们 可 以 将 文件 名 named.hosts 作为 区 文件 名 ， 也 可 以 使 用 
更 有 说 明 性 的 文字 ， 例 如 ，vbrew.com 区 文件 的 名 字 使 用 vbrew.com.hosts 则 较 好 。 

第 三 个 master 语句 指向 能 将 了 地 址 191.72.0.0 映射 为 主机 名 的 文件 。 它 假定 本 地 服务 
器 是 反 向 域 72.191.in-addr.arpa 的 主 服务 器 ， 该 域 的 数据 从 文件 named.rev 中 加 载 。 

对 于 上 例 配 置 中 的 hint 语句 我 们 在 前 面 唯 高 速 缓存 配置 中 已 经 讨论 过 。 在 这 些 配置 中 ， 
它们 的 作用 是 相同 的 ， 而 且 几 乎 在 任何 配置 中 都 要 使 用 它们 。 

辅助 服务 器 的 配置 与 主 服务 器 的 配置 不 同 ， 它 使 用 slave 语句 代替 master 语句 。slave 
语句 指向 用 作 域 信息 源 的 远程 服务 器 ， 以 替代 本 地 磁盘 文件 。 下 面 的 named.conf 文件 可 以 
将 vale 配置 成 vbrew.com 域 的 辅助 服务 器 。 


// generated by named-bootconf.pl 


options { 

directory "/var/named"; 

/* 

* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 

* directive below. Previous versions of BIND always asked 

* questions using port 53, but BIND 8.1 uses an unprivileged 
* port by default. 

a 

// query-source address * port 53; 

] 7 

人 

// a caching only nameserver config 


// 
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Zone "." { 

type hint; 

file "named.ca"; 
}; 
zone "0.0.127.in-addr.arpa"{ 
type master; 

file "named.local"; 

}; 
Zone "vbrew.com"t{ 
type slave; 


file "named.hosts"; 

masters { 191.72.1.3; }; 

了 

zone "72.191.in-addr.arpa"{ 

type slave; 

file "named.rev"; 

masters {191.72.1.3;}; 

}; 

cache . named.ca 

secondary vbrew.com 191.72.1.3 named.hosts 
secondary 72.191.in-addr.arpa 191.72.1.3 named.rev 
primary 0.0.127.in-addr.arpa named.local 


第 一 个 slave 语句 是 使 这 个 服务 器 成 为 vbrew.com 的 辅助 服务 器 。 它 告诉 named 从 IP 
地 址 为 191.72.1.3 的 服务 器 中 下 载 vbrew.com 的 信息 ， 并 将 其 数据 保存 在 /var/named/ 
named.hosts 文件 中 。 如 果 该 文件 不 存在 ，named 就 创造 一 个 ， 并 从 远程 服务 器 中 取得 区 数 
据 ， 然 后 将 这 些 数 据 写 入 新 创建 的 文件 中 。 如 果 存 在 该 文件 ，named 就 要 检查 远程 服务 器 ， 
以 了 解 远程 服务 器 的 数据 是 否 不 同 于 该 文件 中 的 数据 。 如 果 数 据 有 变化 ， 它 就 下 载 更 新 后 
的 数据 ， 用 新 数据 覆盖 该 文件 的 内 容 ， 如 果 数 据 没 有 变化 ，named 就 加 载 磁盘 文件 的 内 容 ， 
而 不 必 做 麻烦 的 区 转移 工作 。 

将 一 个 数据 库 复制 到 本 地 磁盘 文件 中 ， 就 不 必 在 每 次 引导 主机 时 都 要 转移 区 文件 ， 只 
有 当 数 据 修改 时 ， 才 进行 这 种 区 文件 的 转移 工作 。 

配置 文件 中 的 下 一 行 表示 该 本 地 服务 器 也 是 反 向 域 72.191.in-addr.arpa 的 一 个 辅助 服务 
器 ， 而 且 该 域 的 数据 也 从 191.72.1.3 中 下 载 。 反 向 域 的 数据 存储 在 named.rev 中 。 

DNS 数据 库 文件 和 资源 记录 配置 named 所 需 的 所 有 文件 (named.hosts、named.rev、 
named.local 和 named.ca) 中 的 信息 都 是 以 资源 记录 的 形式 存在 的 。 每 个 资源 记录 都 有 一 个 类 
型 ， 这 个 类 型 说 明 记 录 的 功能 。 这 些 记录 都 是 标准 资源 记录 ， 称 为 RR(Resource Records)。 


长 


5.2.2 ”典型 例题 分 析 


【说 明 】(2014 年 上 半年 下 午 试题 三 ) 
某 单位 网 络 拓扑 结构 如 图 5-6 所 示 ， 在 Linux 系统 下 构建 DNS 服务 器 、DHCP 服务 器 
和 Web 服务 器 。 要 求 如 下 。 
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1. 路 由 器 连接 各 个 子 网 的 接口 信息 如 下 : 

(1) 路 由 器 E0 的 卫 地 址 192.168.1.1/25。 

(2) 路 由 器 El 的 他 地 址 192.168.1.129/25 。 

(3) 路 由 器 E2 的 他 地 址 192.168.2.1/25。 

(4) 路 由 器 E3 的 他 地 址 192.168.2.33/25。 

2. 子 网 1 和 子 网 2 内 的 客户 机 通过 DHCP 服务 器 动态 分 配 卫 地 址 。 

3. 服务 器 设置 固定 的 他 地 址 ， 其 中 : 

(1) DNS 服务 器 采用 BIND 构建 ，IP 地 址 为 192.168.2.2。 

(2) DHCP 服务 器 的 瑟 地 址 为 192.168.2.3。 

(3) Web 服务 器 网 卡 eth0 的 下 地 址 为 92.168.2.4，ethl 的 他 地 址 为 92.168.2.34。 


DNS 服 务 器 


DHCP 服 务 器 


5-6 “网络 拓扑 结构 图 


【问题 1】(3 分 ) 
请 完成 图 5-6 中 Web 服务 器 ethl 的 配置 。 


Device=ethl 
Bootproto=static 
Onboot=yes 
Hwaddr=08:00:27:24:F8:9B 
Netmask= (1)_. 

Ipaddr= (2). 

Gateway=_ (3) 
Type=Ethernet 
Name="Systemeth1" 
Ipv6éintt=no 


【问题 2】 
请 完成 DNS 服务 器 上 的 配置 。 
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Device=eth0 
Bootproto=static 
Onboot=yes 
Hwaddr=08:00:27:21:Al:78 
Netmask= (4) 

Ipaddr= (9) 

Gateway= (0) 
Type=Ethernet 
Name="Systemeth0" 
Ipv6intt=no 


【问题 3】 
在 (7)、(8)、(9) 处 填写 恰当 的 内 容 。 在 Linux 系统 中 设置 域名 解析 服务 器 ， 已 知 域名 服 


务 器 上 文件 named.conf 的 部 分 内 容 如 下 : 


options{ 

Directory "/var/named"; 
Hostname "nsl.test.com"; 
allow-query {any;}; 
allow-recursion {A:B:C:D}; 
Recursion yes; 

ja 

acl "A" {192.168.1.0/25}; 
acl "B" {192.168.1.128/25}; 
acl "C" {192.168.2,0/29}; 
acl "D"{192.168.1.32/29}; 
View "A"{ 
Match-clients{A;}; 
Recursion yes; 

Zone "test.com"t{ 

Type master; 

File "test.com.zone.A" 

}; 

}; 

View "B"{ 
Match-clients{any;}; 
Recursion yes; 

Zone "test.com"{ 

Type master; 

File "test.com.zone.B" 

}; 

}; 


test.com.zone.A 文件 的 部 分 配置 如 下 : WWW IN A 192.168.2.4。 


test.com.zone.B 文件 的 部 分 配置 如 下 : WWW IN A 192.168.2.34。 
卫 地 址 (7) 不 允许 使 用 该 DNS 进行 递归 查询 ， 子 网 1 和 子 网 2 中 的 客户 端 访问 


www.test.com 时 ， 该 DNS 解析 返回 的 他 地址 分 别 为 _(8) 和 (9) 。 


(7) 备 选 答案 : 
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A. 192.168.1.8 B. 192.168.2.34 
C. 192.168.2.10 D. 192.168.2.6 
(8) 和 (9) 备 选 答案 : 
A. 192.168.2.4 B. 192.168.2.34 
C. 192.168.2.4 或 者 192.168.2.34 D. 192.168.2.4 和 192.168.2.34 
【问题 4】 
DHCP 服务 器 配置 文件 如 下 : 
Authoritative; 


Ddns-update off; 

Max-lease-time 604800; 
default-lease-time 604800; 

Allow unknow-clients; 

Option domain-name-servers 192.168.2.2; 
Ddns-update-style none; 

allow client-update; 

subnet 192.168.0.0 netmask 255.255.255.248{ 
option routers 192.168.2.33; 

range 192.168.2.35 192.168.2.38; 

} 


根据 这 个 文件 内 容 ， 该 DHCP 服务 器 默认 租 期 _(10) 天 。DHCP 客户 机 能 获得 的 人 P 
地 址 范围 是 从 _Q1) 到 (12) _ ， 获 得 DNS 服务 器 他 地 址 为 _(13) 。 

答案 : 

【问题 1】 
(1) 255.255.255.248 (2) 192.168.2.34 (3) 192.168.2.33 
【问题 2】 
(4) 255.255.255.248 。 (5) 192.168.2.2 (6) 192.168.2.1 
【问题 3】 
(7)C 或 192.168.2.10 ” (8) A 或 192.168.2.4 (9)B 或 192.168.2.34 
【问题 4】 

(10)7 (11) 192.168.2.35 (12)192.168.2.38 (13)192.168.2.2 

解析 : 
【问题 1】 

题 干 已 经 说 明 Web 服务 器 的 ethl 接口 卫 地 址 为 192.168.2.34, 由 于 该 接口 与 路 由 器 E3 
接口 属于 一 个 逻辑 网 路 ， 所 以 其 子 网 掩 码 长 度 为 “/29”， 十进制 的 表示 为 255.255.255.248， 
路 由 器 E3 接口 的 全 地址 192.168.2.33/29 为 Web 服务 器 ethl 接口 的 网 关 地 址 。 

【问题 2】 

本 问题 考查 网 络 地 址 规划 和 Linux 系统 下 网 卡 网 络 配置 的 基本 知识 和 两 种 表示 方式 的 
子 网 掩 码 换算 。 

Linux 系统 下 网 络 配置 参数 中 ，NETMASK 代表 子 网 掩 码 ，IPADDR 代表 卫 地 址 ， 
GATEWAY 代表 子 网 网 关 地 址 。 
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【问题 3] 
本 问题 考查 Linux 系统 下 基于 BIND 的 DNS 服务 配置 。 
通过 allow-recursion{A:B:C:D} 命 令 , 可 以 看 出 acl A、B、C. DD 允许 递归 查询 , 选项 A、 
B、 DD 对 应 的 全 地 址 分 别 在 定义 的 acl A、B、C 子 网 中 , 选项 C 对 应 的 全 地 址 不 在 acl A、 
B、C、D 任何 子 网 中 ， 故 选 C。 
客户 端 访问 www.test.com 时 ， 子 网 1 的 客户 端 对 应 acl A， 会 访问 view A 中 的 域名 配 
置 文件 test.com.zone.A， 故 解析 出 的 他 地 址 为 192.168.2.4; 子 网 2 的 客户 端 不 在 acl A 中 ， 
则 会 访问 view B 中 的 域名 配置 文件 test.com.zone.B， 故 解析 出 的 他 地 址 为 192.168.2.34。 
【问题 4] 
通过 DHCP 服务 器 配置 命令 中 “default-lease-time 604800” 语句 分 析 ， 默 认 租约 时 间 为 
604800 秒 , 亦 即 7 天 。 通 过 语句 “option domain-name-servers 192.168.2.2?， 可 以 得 到 DHCP 
服务 器 获得 的 DNS IP 地 址 为 192.168.2.2。 通 过 语句 “range 192.168.2.35 192.168.2.38”， 可 
以 得 到 DHCP 客户 能 获得 的 IP 地 址 范围 是 192.168.2.35 一 192.168.2.38。 


5.2.3 同步 练习 


阅读 以 下 Linux 系统 中 关于 人 P 地 址 和 主机 名 转换 的 说 明 ， 回 答 问题 1 至 问题 3。 

【说 明 】 计算 机 用 户 通常 使 用 主机 名 来 访问 网 络 中 的 节点 ， 而 采用 TCP/IP 协议 的 网 
络 是 以 全 地 址 来 标记 网 络 节点 的 ， 因 此 需要 一 种 将 主机 名 转换 为 IP 地 址 的 机 制 。 在 Linux 
系统 中 ， 可 以 使 用 多 种 技术 来 实现 主机 名 和 下 地 址 的 转换 。 

【问题 1】(6 分) 

请 选择 恰当 的 内 容 填写 在 (1)~~(3) 空 白 处 。 

一 般 用 Host 表 、 网 络 信息 服务 系统 (NIS) 和 域名 服务 (DNS) 等 多 种 技术 来 实现 主机 名 和 
JP 地 址 之 间 的 转换 。Host 表 是 简单 的 文本 文件 ， 而 DNS 是 应 用 最 广泛 的 主机 名 和 卫 地 址 
的 转换 机 制 , 它 使 用 _(CD 来 处 理 网 络 中 成 千 上 万 个 主机 和 下 地 址 的 转换 。 在 Linux 中 , DNS 
是 由 BIND 软件 来 实现 的 。BIND 是 一 个 _(2) 系统 ， 其 中 的 resolver 程序 负责 产生 域名 信息 
的 查询 ， 一 个 称 为 _G3) 的 守护 进程 ， 负 责 回答 查询 ， 这 个 过 程 称 为 域名 解析 。 


(1) A. 集中 式 数据 库 B. 分 布 式 数据 库 
(2) A.C/S B. B/S 
(3) A.named B. bind C. nameserver 


【问题 2】(3 分 ) 
图 5-7 是 采用 DNS 将 主机 名 解析 成 一 个 P 地 址 过 程 的 流程 图 。 请 选择 恰当 的 内 容 填 写 
在 (4)~~(6) 空 白 处 。 
A. 产生 一 个 指定 下 一 域名 服务 器 的 响应 ， 送 给 DNS 客户 
B. 把 名 字 请 求 转送 给 下 一 个 域名 服务 器 ， 进 行 递归 求解 ， 结 果 返 回 给 DNS 客户 
C. 将 查询 报 文 发 往 某 域名 服务 器 
D. 利用 Host 表 查 询 
E. 查询 失败 
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是 
DNS 和 客户 构造 
主机 查询 报 文 
时 
@) 
(9) 
下 
人 人、 
i 2 NN 
存在 人 的 下 -个 Ci > 
Y 二 
迭代 从 DNS 数据 库 中 取 
孵 种 求 出 相应 的 fp 地 址 ， 
友 式 ? 返回 给 DNS 客户 
中 
递归 返回 “主机 不 存在 ” 
| 报 文 给 DNS 客户 
GO 路 
结束 


图 5-7 DNS 解析 流程 图 


【问题 3】(6 分 ) 
请 在 (7)~(9) 空 白 处 填写 恰当 的 内 容 。 
在 Linux 系统 中 设置 域名 解析 服务 器 ， 已 知 该 域名 服务 器 上 文件 named.conf 的 部 分 内 


容 如 下 。 
options { 
directory '/var/named'; 
3 
Z0ne "ou 


type hint; 
file 'named.ca'; 

} 

Zone "localhost' IN { 
file "localhost.zone" 
allow-update{none;}; 

}; 

zone '0.0.127.in-addr.arpa'{ 
type master; 
file 'named.local'; 

] 7 

Zone 'test.com'{ 
type _(D) ; 


file "test.Ccom's 
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zone '40.35.222.in-addr.arpa'{ 
type master; 
file "40.3575222"s 


include "/etc/rndc.key"; 


该 服务 器 是 域 test.com 的 主 服务 器 ， 该 域 对 应 的 网 络 地 址 是 (8) ， 
文件 存放 在 _(9) 目录 中 。 


5.2.4 同步 练习 参考 答案 


答案 : 

【问题 1】 
(DB ©A 
【问题 2】 
WC (5)A 
【问题 3】 


(7) master 


(3)A 
(0)B 


(8) 222.35.40.0 (9) /var/named 


5.3 DHCP 服务 器 的 配置 


5.3.1 考点 辅导 


E 向 域名 转换 数据 


在 Linux 操作 系统 下 建立 DHCP 服务 器 非常 简单 ， 只 要 掌握 几 个 简单 的 命令 ,编辑 


/etc/dhcpd.conf 文件 ， 就 能 够 很 快 建立 DHCP 服务 器 。 
5.3.1.1 DHCP 的 常用 概念 
1. 作用 域 
作用 域 是 一 个 网 络 中 可 分 配 他 地 址 的 集合 。 
2. 超级 作用 域 


超级 作用 域 是 一 组 作用 域 的 集合 ， 是 由 一 个 物理 子 网 中 包含 的 多 个 人 P 子 网 组 成 的 。 我 


们 可 以 理解 为 作用 域 是 一 个 用 户 ， 而 超级 作用 域 就 是 这 个 用 户 的 组 。 

3. 排除 范围 

排除 范围 是 用 来 定义 某 亿 或 者 某 一 组 人 P 不 出 现在 DHCP 作用 域 中 。 

4. 地 址 池 

定义 了 DHCP 作用 域 和 排除 范围 后 ， 剩 下 的 可 用 地 址 构成 了 一 个 地 址 池 。 池 中 的 地 址 
可 以 分 配给 用 户 使 用 。 
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5. 租约 
租约 就 是 DHCP 服务 器 指定 的 时 间 长 度 , 在 此 长 度 内 客户 机 可 以 使 用 分 配给 它 的 地 址 ， 


如 果 租 约 到 期 ， 客 户 机 必须 更 新 卫 租约 。 


6. 保留 地 址 
用 户 可 以 使 用 保留 地 址 ， 保 留 地 址 提供 了 一 个 将 动态 地 址 和 其 MAC 地 址 相关 联 的 手 


段 ， 用 于 保证 此 网 卡 长 期 使 用 某 个 他 地址 。 


7. 选项 类 型 

选项 类 型 是 DCHP 为 工作 站 提供 的 其 他 参数 ， 比 如 网 关 的 人 P 地 址 、DNS 服务 器 等 。 
5.3.1.2 DHCP 的 设置 

DHCP 的 配置 文件 是 /ete/dhepd.conf， 不 过 默认 情况 下 这 个 文件 不 存在 ， 需 要 使 用 它 的 


模板 建立 一 个 配置 文件 。 模 板 的 位 置 在 /usr/share/doc/dhcp-3.0p11/dhepd.confsample 中 。 


模板 配置 文件 的 内 容 如 下 。 
和 所 有 的 配置 文件 类 似 ， 它 用 # 代 表 注释 。 现 在 看 看 每 行 都 说 了 什么 。 


ddns-update-style interim; 

# 配 置 使 用 过 渡 性 DHCP-DNS 互动 更 新 模式 

ignore client-updates; 

# 忽 略 客户 端 更 新 

subnet 192.168.0.0 netmask 255.255.255.0 { 
# 设 置 子 网 声明 

# --- default gateway 

option routers 192.168.0.1; 

# 设 置 默 认 网 关 为 192 .168.0.1 


option subnet-mask 255.255.255.0; 


# 设 置 客户 端的 子 网 掩 码 

option nis-domain "domain.org"; 

# 为 客户 设置 NIS 域 

option domain-name "domain.org"; 

# 为 客户 设置 域名 

option domain-name-servers 192.168.1.1; 

# 为 客户 设置 域名 服务 器 

option time-offset -18000; # Eastern Standard Time 
# 设 置 偏 移 时 间 

# option ntp-servers 192.168.1.1; 

设置 NTP 服务 器 

# option netbios-name-servers 192.168.1.1; 
设置 WINS 服务 器 


#--- Selects point-to-point node (default is hybrid). Don't change this unless 
# -- you understand Netbios very well 

# option netbios-node-type 2; 

# 设 置 netbios 节点 类 型 
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range dynamic-bootp 192.168.0.128 192.168.0.255; 
# 设 置 动态 的 地 址 池 

default-lease-time 21600; 

# 设 置 默 认 的 地 址 租 期 


max-lease-time 43200; 


# 设 置 客户 端 最 长 的 地 址 租 期 


# we want the nameserver to appear at a fixed address 
// 设 置 主机 声明 

host ns { 

next-server marvin.redhat .com; 

// 设 置 定义 服务 器 从 引导 文件 中 装 入 的 主机 名 ， 用 于 无 盘 站 
hardware ethernet 12:34:56:78:AB:CD; 

// 指 定 DHCP 客户 的 MAC 地址 

fixed-address 207.175.42.254; 

// 给 指定 的 MAC 地 址 分 配 IP 

} 

} 


5.3.2 ”典型 例题 分 析 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 3， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【问题 1】(3 分 ， 每 空 1.5 分 ) 
Linux 服务 器 中 DHCP 服务 程序 /usr/sbin/dhcpd 对 应 的 配置 文件 名 称 是 .CD_， 该 文件 的 
默认 目录 是 (2) 。 
【问题 2】(6 分 ， 每 空 1 分 ) 
某 网 络 采用 Linux DHCP 服务 器 为 主机 提供 服务 ， 查 看 某 主机 的 网 络 连接 详细 信息 如 
图 5-8 所 示 。 


00-24-D2-DF- 
192.168.1.102 
255.255. 255.0 
国 中 人 网 关 192.168.1.1 
| owe 有 e 务 器 192. les .1.1 
目 获得 了 租约 2012-2-10 20:51:53 
租约 过 期 ”2012-2-10 22:51:53 
ows 服务 器 218.30. 19.50 
61.134.1.4 


TRS 服务 器 


5-8 ”网 络 连接 详细 信息 
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请 根据 图 5-8 补充 完成 Linux DHCP 服务 器 中 DHCP 配置 文件 的 相关 配置 项 。 


subnet 192.168.1.0 netmask 255.255.255.0 

{range 192.168.1.10 192.168.1.200;default-lease-time _(G) ; 
max-lease-time 14400; 

option subnet-mask _(4); 

option routers _(5)v 


option domain-name "myuniversity.edu.cn";option broadcast-address (6); 
option domain-name-servers (7), (8);} 


【问题 3】(6 分 ， 每 空 2 分 ) 
如 果 要 确保 人 P 地 址 192.168.1.102 分 配给 图 5-8 中 的 PC， 需 要 在 DHCP 配置 文件 中 补 
充 以 下 语句 。 
_(9) pcl{hardware ethernet _(10)_ ;fixed-address (11) ;} 


答案 : 
【问题 1】 
(1) dhcpd.conf (2) /ete 
【问题 2】 
(3) 7200 (4) 255.255.255.0 (5) 192.168.1.1 (6) 192.168.1.255 
(7) 218.30.19.50 (8) 61.134.1.4 
【问题 3】 
(9) host (10) 00:24:D2:DF:37:F3 (11) 192.168.1.102 
解析 : 
【问题 1】DHCP 服务 的 守护 程序 是 /usr/sbin/dhepd。 默认 的 配置 文件 是 /etc/dhepd.contf 
【问题 2】 由 图 5-8 可 知 ， 获 得 租约 的 时 间 是 2012-2-10 20:51:53， 租 约 过 期 的 时 间 是 
2012-2-10 22:51:53, 故 默 认 租 用 期 为 2 小 时 ， 即 7200 秒 , 故 (3) 处 填 7200; (4) 处 填 子 网 掩 码 ， 
即 255.255.255.0; option routers 指明 子 网 内 的 默认 网 关 ( 即 路 由 器 ) 的 地 址 ， 故 (5) 处 填 默认 网 
关 192.168.1.1; option broadcast-address 指定 广播 地 址 ， 即 将 他 地 址 的 网 络 号 都 置 为 1， 故 
(6) 处 填 192.168.1.255; option domain-name-servers 指定 DNS 服务 器 ， 可 以 有 多 个 ， 故 (7)、 
(8) 处 分 别 填 218.30.19.50 和 61.134.1.4。 
【问题 3】 fixed-address 指定 一 个 或 多 个 人 P 地 址 给 一 个 DHCP 客户 ， 只 能 出 现在 host 
声明 里 , 故 (9) 处 填 host, (10) 处 填 以 太 网 的 MAC 地 址 , 图 5-8 中 所 示 为 00:24:D2:DF:37:F3， 
(11) 处 填 固定 的 他 地 址 192.168.1.102。 


5.3.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 3， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 在 大 型 网 络 中 ， 通 常 采用 DHCP 完成 基本 网 络 配置 会 更 有 效率 。 
【问题 1】(1 分 ) 

在 Linux 系统 中 ，DHCP 服务 默认 的 配置 文件 为 _(1) 。 
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(1) 备 选 答案 : 
A. /etc/dhcpd.conf B. /etc/dhepd.config 
C. /etc/dhep.conf D. /etc/dhep.config 

【问题 2】(4 分 ) 
管理 员 可 以 在 命令 行 中 通过 _(2) 命令 启动 DHCP 服务 ; 通过 _(3) 命令 停止 DHCP 
服务 。 

(2)、(3) 备 选 答案 : 
A. service dhepd start B. service dhcpd up 
C. service dhcpd stop D. service dhcpd down 


【问题 3】(10 分 ) 
在 Linux 系统 中 配置 DHCP 服务 器 ， 该 服务 器 配置 文件 的 部 分 内 容 如 下 。 


subnet 192.168.1.0 netmask 255.255.255.0 { 
option routers 192-368.1.2547 
option subnet-mask 255.255.255.0; 
option broadcast-address 192.168.1.255; 
option domain-name-servers 192.168.1.3; 
range 192.168.1.100 192.168.1.200; 
default-lease-time 21600; 
max-lease-time 43200; 
host webservert{ 
hardware ethernet 52:54:AB:34:5B:09; 
fixed-address 192.168.1.100; 

} 
} 


在 主机 Web Server 上 运行 ifconfig 命令 时 显示 如 下 ， 根 据 DHCP 配置 ， 填 写 空格 中 缺 
少 的 内 容 。 


eth0 Link encap-Ethernet HWaddr (4) 
inet addr (5) Bcast:192.168.1255 Mask (6) 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:4 errors:0 dropped:0 overruns:0 carrier0 
collisions:0 txqueuelen:100 
RX bytes:0 (0.0b) TX bytes:168 (168.0b) 
JInterrupt:10 Base address:0x10a4 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
UPLOOPBACK RUNNING MTU:16436 Metnc:l 
RX packets:397 errors:0 dropped:0 overruns:0 frame0 
TX packets:397 errors:0 dropped:0 overruns-0 carmier-0 
collisions:0 txqueuelen:0 
RX bytes-26682 (26.0 Kb) TX bytes:26682 (26.0 Kb) 


该 网 段 的 网 关 瑟 地址 为 _(7)_， 域 名 服务 器 的 下 地址 为 _(8) 。 
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5.3.4 同步 练习 参考 答案 


答案 : 

【问题 1】 

(DA 

【问题 2】 

WA G3)C 

【问题 3】 

(4) 52:54:AB:34:5B:09 (5) 192.168.1.100 (6) 255.255.255.0 
(7) 192.168.1.254 (8) 192.168.1.3 


5.4 Samba 服务 器 的 配置 


5.4.1 考点 辅导 


Samba 能 够 使 Windows 用 户 通过 “网 上 邻居 ”等 熟悉 的 方式 直接 访问 Linux 上 的 资源 ， 
也 能 使 Linux 利用 SMB 客户 端 程序 访问 Windows 的 共享 资源 。 

服务 信息 块 (Server Message Block，SMB) 是 局 域 网 上 的 共享 文件 夹 /打印 机 的 一 种 协议 。 

Samba 的 配置 文件 如 下 。 


[globall] 
workgroup = WORKGROUP 
server string = Samba Server 
printcap name = /etc/printcap 
load printers = yes 
cups options = raw 
log file = /var/1og/samba/sm.1og 
max log size = 50 
security = user 
socket options = TCP NODELAY SO RCVBUF=8192 SO_SNDBUF=8192 
dns proxy = no 
idmap uid = 16777216-33554431 
idmap gid = 16777216-33554431 
template shell = /bin/false 
winbind use default domain = no 
[homes] 
comment = Home Directories 
browseable = no 
writable = yes 


[printers] 


网 络 工程 师 考试 同步 辅导 (下 午 科 目 )( 第 4 版 ) 


comment = All Printers 
path = /var/spool/samba 
browseable = no 

guest ok = no 

writable = no 


printable = yes 
从 上 面 的 程序 中 可 以 看 到 Samba 的 配置 文件 分 为 三 节 。 
[global]: 这 个 小 节 主 要 包含 全 局 参数 。 
[homes]: 这 个 小 节 用 于 共享 存储 在 home 中 的 Linux 用 户 目录 。 
[printers]， 这 个 小 节 用 于 共享 本 地 Linux 打印 机 文件 /ete/printcap 中 列 出 的 所 有 打印 机 。 
1. [global] 全 局 参数 配置 
[global] 全 局 参数 配置 命令 如 下 。 


workgroup = WORKGROUP 
netbios = dolinux.cn 


server string = NetSeek's Samba Server(%h Samba Server) 

hosts allow = netseek,cnseek.org,192.168.0.*EXPECT 192.168.0.5 

// 允 许 主机 名 为 netseek 的 客户 端 访 问 ， 人 允许 域 为 cnseek .org 的 域 访问 ， 人 允许 192.168.0.* 
// 所 有 的 主机 访问 , 除了 192.168.0.5 

printcap name = /etc/printcap 

//Samba 启动 时 ， 将 会 自动 加 载 打印 机 配置 文件 ， 建 议 默认 即 可 

load printers = yes // 允 许 自动 加 载 浏览 列表 ， 默 认 即 可 

log file = /var/1og/samba/sm.1og //samba 相关 的 日 志文 件 

security = user ”// 使 用 的 安全 等 级 ， 默 认 值 为 user 


其 安全 等 级 分 为 以 下 5 类 。 

(1) share: 当 客户 端 连 接 到 该 等 级 的 Samba 服务 器 上 时 ， 不 需要 输入 账号 和 密码 ， 就 
可 以 访问 Samba 服务 器 上 的 共享 资源 ， 但 安全 性 无 法 保证 。 

(2) user: 用 户 需要 输入 有 效 的 密码 ， 通 过 验证 后 才能 使 用 服务 器 的 共享 。 

(3) server: 与 user 等 级 相同 ， 也 需要 输入 有 效 的 账号 和 密码 ， 但 还 需要 指定 口令 服务 
器 。 其 配置 命令 如 下 。 

password server = <NT-Server-Name> 

eg: security = server 


password server= SMB2 
smb passwd file =/etc/samba/smbpasswd smb2 


(4) domain 安全 等 级 ，Samba 服务 器 加 入 到 Windows NT 域 中 后 ，Samba 的 服务 器 不 
再 负责 账号 和 密码 的 验证 ， 而 是 统一 由 域 控制 器 负责 ， 此 时 需要 使 用 访问 安全 等 级 ， 同 
时 也 必须 指定 口令 服务 器 。 

(5) ads 安全 等 级 :Samba 服务 器 加 入 到 Windows 活动 目录 后 , 需要 使 用 访问 安全 等 级 ， 
同时 也 需要 指定 口令 服务 器 。 其 配置 命令 如 下 。 


password level = 8 
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username level = 8 // 用 户 名 和 密码 长 度 限制 

encrypt passwords = yes // 使 用 口令 加 密 

smb passwd file = /etc/samba/smbpasswd 

//Smaba 账号 存放 文件 ， 注 意 务必 采用 加 密 形式 ， 否 则 要 改 win 注册 表 ， 因 为 win 也 采用 了 加 密 方式 
username map = /etc/samba/smbusers // 用 户 映射 ， 将 不 同 的 用 户 映射 成 为 一 个 用 户 


2. [homes] 设置 共享 目录 
[homes] 设 置 共 享 目录 的 配置 命令 如 下 。 


[homes] 

comment = Home Directories// 目 录 文字 说 明 

browseable = no // 是 否 允许 用 户 浏览 homes 主 目录 ， 建 议 使 用 默认 值 不 允许 
writable = yes // 是 否 允 许 写 入 个 人 主 目录 

comment = 文字 说 明 内 容 // 文 字 说 明 


browseable = no // 表 示 禁 止 浏览 ， 也 就 是 本 目录 只 有 有 权 使 用 的 用 户 可 以 看 到 
writable = yes // 人 允许 有 权限 的 用 户 写 入 
valid users = netseek,1in,@share // 只 允许 netseek、1lin、 用 户 share 组 的 访问 


设置 一 个 共享 目录 的 命令 如 下 。 


[shares] 

comment = NetSeek's share Directory 
read list = netseek 

write list = @share 

path = /home/share 


【说 明 】NetSeek 的 用 户 可 以 读 ，share 组 的 用 户 可 以 读 写 ， 所 有 share 的 用 户 对 这 个 目 
录 可 读 可 写 。 
3. [printers] 共享 打印 
[printers] 共享 打印 的 配置 命令 如 下 。 


comment = All Printers 

path = /var/spool/samba 

browseable = no 

// 如 果 人 允许 guest 打印 ， 只 需 在 末尾 加 入 public = yes 即 可 

# Set public = yes to allow user 'guest account' to print 
guest ok = no 

writable = no 

printable = yes 


4. 用 户 创建 

(1) 系统 用 户 映射 给 Samba， 其 配置 命令 如 下 。 

#cat /etc/passwd | /usr/bin/mksmbpasswd.sh > /etc/samba/smbpasswd 
(2) 为 用 户 添 加 SMB 口令 ， 其 配置 命令 如 下 。 


#smbpasswd netseek 
New SMB paSsSWOTG :大 炎炎 炎炎 炎炎 


Retype new SMB password:******* 


1 
网 络 工程 师 考 试 同步 辅导 (下 午 科目 )( 第 4 版 ) 


5. 服务 启动 
服务 启动 的 命令 如 下 。 


/etc/rc.d/init.d/smb start 
/etc/rc.d/init.d/smb restart 
#chkconfig smb on 

#chkconfig --list smb 


5.4.2 ”典型 例题 分 析 


阅读 以 下 关于 Linux 文件 系统 和 Samba 服务 的 说 明 ， 回 答 问题 1 至 问题 3。 
【说 明 】 Linux 系统 采用 了 树 型 多 级 目录 来 管理 文件 ， 树 型 结构 的 最 上 层 是 根 目录 ， 
其 他 的 所 有 目录 都 是 从 根 目录 生成 的 。 
通过 Samba 可 以 实现 基于 Linux 操作 系统 的 服务 器 和 基于 Windows 操作 系统 的 客户 机 
之 间 的 文件 、 目 录 及 共享 打印 服务 。 
【问题 1】(6 分) 
Linux 在 安装 时 会 创建 一 些 默认 的 目录 ， 如 表 5-1 所 示 。 


表 5-1 Linux 的 默认 目录 


目录 说 明 
f 
/bin 
/boot 存放 启动 系统 使 用 的 文件 
/dev 
lete 用 来 存放 系统 管理 所 需要 的 配置 文件 和 子 目 录 
/home 
/lib 文件 系统 中 程序 所 需要 的 共享 库 
/lost+found 
/mot 临时 安装 (nount) 文 件 系统 的 挂 载 点 
/opt 


/proc 


/root 


/sbin 


/usr 
/var 包含 系统 运行 时 要 改变 的 数据 
人 
依据 上 述 表 格 ， 在 空 (0D)~(6) 中 填写 恰当 的 内 容 [ 其 中 空 (0) 在 备 选 答案 中 选择 ]。 
1. 对 于 多 分 区 的 Linux 系统 ， 文 件 目录 树 的 数目 是 _(D 。 
2. Linux 系统 的 根 目录 是 _(2) ,默认 的 用 户主 目录 在 _(3) 目录 下 ， 系 统 的 设备 文件 (如 
打印 驱动 ) 存 放 在 _(4) 目录 中 ，._(5) 目录 中 的 内 容 关机 后 不 能 被 保存 。 
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3. 如 果 在 工作 期 间 突然 停电 ， 或 者 没有 正常 关机 ， 在 重新 启动 机 器 时 ， 系 统 将 要 复查 
文件 系统 ， 系 统 将 找到 的 无 法 确定 位 置 的 文件 放 到 目录 _(6) 中 。 

(1) 备 选 答案 : 

A.l B. 分 区 的 数目 | 
【问题 2】(4 分 ) 

默认 情况 下 ， 系 统 将 创建 的 普通 文件 的 权限 设置 为 -rw-r--r--， 即 文件 所 有 者 对 文件 (7) ， 
同 组 用 户 对 文件 _(8) ， 其 他 用 户 对 文件 _(9) ， 文 件 的 所 有 者 或 者 超级 用 户 ， 采 用 _(10) 命 
令 可 以 改变 文件 的 访问 权限 。 

【问题 3】(5 分 ) 

Linux 系统 中 Samba 的 主要 配置 文件 是 /etc/samba/smb/conf， 请 根据 以 下 的 smb.conf 配 
置 文件 ， 在 空 (11)~(15) 中 填写 恰当 的 内 容 。 

Linux 服务 器 启动 Samba 服务 后 , 在 客户 机 的 “网 上 邻居 ”中 显示 提供 共享 服务 的 Linux 
主机 名 为 _41) ， 其 共享 的 服务 有 _(12) ， 能 够 访问 Samba 共享 服务 的 客户 机 的 地 址 范围 
是 _(13) ; 能 够 通过 Samba 服务 读 写 /home/samba 中 内 容 的 用 户 是 (14) ; 该 Samba 服务 器 
的 安全 级 别 是 _(15) 。 

[globall] 

workgroup = MYGROUP 

netbios name = smb-server 

server string = Samba Server 


hosts allow = 192.168.1 192.168.2.127 
load printers =yes 


[printers] 

comment = My Printer 
browseable = yes 

path = /usr/spool/samba 
guest ok = yes 

writable = no 

printable = yes 


[public] 

comment = Public Test 
browseable = no 

path = /home/samba 
public = yes 
writable = yes 
printable = no 

write list = @test 


[user 1 dir] 

comment = Userl's Service 
browseable = no 

path = /usr/usrl 

valid uers = userl 

public = no 

writable = yes 

printable = no 
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答案 : 
【问题 1】 

(DA (2)/ (3)/home (4)/dev (5)/proc (6) /losttfound 
【问题 2】 

7) 可 读 可 写 不 可 执行 (8) 可 读 不 可 写 不 可 执行 

9) 可 读 不 可 写 不 可 执行 ” (10) chmod 

【问题 3】 

(11) smb-server ”(12) (printers 或 My Printer) 文 件 及 打印 共享 
(13) 因为 相关 参数 被 注释 ， 因 此 没有 范围 限制 

(14) test 用 户 组 ”(15) user 

解析 : 

【问题 1】 Linux 系统 中 的 每 个 分 区 都 是 一 个 文件 系统 ， 都 有 自己 的 目录 层次 结构 。 
Linux 将 这 些 属于 不 同 分 区 的 、 单 独 的 文件 系统 按照 挂 载 的 方式 ， 将 一 个 文件 系统 的 顶层 目 
录 挂 到 另 一 个 文件 系统 的 子 目录 上 ， 形 成 一 个 系统 的 树 型 层次 结构 。 树 型 结构 的 最 上 层 是 
根 目录 ， 用 “/” 表 示 ， 其 他 的 目录 都 是 从 根 目录 出 发 而 生成 的 。/home 目录 下 存放 的 是 用 
户 文件 的 主 目录 ， 用 户 数据 存放 在 其 主 目录 中 ; /dev 目录 下 存放 的 是 设备 文件 ，/proc 是 一 
个 虚拟 的 文件 系统 (不 是 实际 储存 在 磁盘 上 的 )， 是 由 系统 启动 的 时 候 在 内 存 中 产生 的 ， 存 放 
存储 进程 和 系统 信息 ,其 内 容 在 关机 后 不 能 被 保存 ; /losttfound 目录 在 大 多 数 情 况 下 都 是 空 
的 ， 但 当 突然 停电 或 者 非 正常 关机 后 ， 在 机 器 启动 的 时 候 有 些 文件 找 不 到 应 该 存放 的 地 方 ， 
就 放 到 这 个 目录 中 。 

【问题 2】 Linux 对 文件 的 访问 设 定 了 3 级 权限 : 文件 所 有 者 、 文 件 所 有 者 同 组 的 用 户 
和 其 他 用 户 。 它 对 文件 的 访问 设 定 了 3 种 处 理 操作 : 读 取 、 写 入 和 执行 。 每 一 个 文件 或 目 
录 的 列表 信息 分 为 4 部 分 ， 其 中 最 左边 的 一 位 标识 操作 系统 的 文件 类 型 ， 其 余 3 组 是 3 组 
访问 权限 ， 每 组 用 3 位 表示 ，T 表 示 可 读 的 ，w 表 示 可 写 的 ，x 表示 可 执行 的 ，- 表 示 无 访问 
权限 。 题 目 中 文件 的 权限 设置 为 -rw-r--r--， 则 文件 所 有 者 对 该 文件 可 读 可 写 (rw)， 而 同 组 用 
户 和 其 他 用 户 对 该 文件 只 可 读 (r)。 

chmod 命令 用 于 改变 文件 或 目录 的 访问 权限 。 用 户 根据 需要 可 以 通过 命令 修改 文件 和 
目录 的 默认 存 取 权 限 ， 只 有 文件 所 有 者 或 者 超级 用 户 才 有 权 用 chmod 改变 文件 或 目录 的 访 
问 权 限 。 

【问题 3】〗 下 面 是 Samba 主要 配置 文件 的 说 明 ， 与 所 有 的 配置 文件 类 似 ， 它 用 # 代 表 

注释 。 


一 、 


刁 号 


一 


[globall]l 
workgroup = MYGROUP 
#PDC 域 
netbios name = smb-server 
# 在 其 他 的 机 器 中 声明 的 本 机 器 的 名 称 
server string = Samba Server 
# 这 个 声明 会 出 现在 Windows 的 “网 上 邻居 ”中 
hosts allow = 192.168.1 192.168.2.127 
# 这 一 行 由 于 安全 的 原因 很 关键 ， 只 许 在 局 域 网 中 与 特定 的 计算 机 连接 
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load printers = yes 


# 自 动 载 入 一 个 打印 机 的 清单 


[printers] 
comment = My Printer 
browseable = yes 
path = /usr/spool/samba 
guest ok = yes 
writable = no 


printable = yes 


[public] 
comment = Public Test 
# 文 字 说 明 内 容 
browseable = no 
# 表 示 禁 止 浏览 ， 也 就 是 本 目录 只 允许 有 权 使 用 的 用 户 可 以 看 到 
path = /home/samba 
# 设 置 共 享 的 路 径 
public = yes 
writable = yes 
printable = no 
write list = @test 


[user 1 dir] 
comment = Userl’s Service 
# 文 字 说 明 内 容 
browseable = no 
# 表 示 禁 止 浏览 ， 也 就 是 本 目录 只 允许 有 权 使 用 的 用 户 可 以 看 到 
path = /usr/usrl 
# 设 置 共享 的 路 径 
valid uers = userl 
# 指 定 可 访问 的 用 户 
public = no 
writable = yes 
# 人 允许 有 权限 的 用 户 写 入 


printable = no 


5.4.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 8， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 Linux 系统 开机 引导 时 首先 启动 内 核 ， 由 内 核 检 查 和 初始 化 硬件 设备 ， 载 入 
设备 的 驱动 程序 模块 ， 安 装 root 文件 系统 ， 然 后 内 核 将 启动 一 个 名 为 init 的 进程 。 在 init 
运行 完成 并 启动 其 他 必要 的 后 续 进 程 后 ， 系 统 开始 运行 ， 引 导 过 程 结 束 。init 进程 启动 时 需 
要 读 取 inittab 配置 文件 ， 该 文件 确定 init 在 系统 启动 和 关机 时 的 工作 特性 。 典 型 的 inittab 
文件 内 容 见 以 下 清单 。 
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# 

# inittab This file describes how the INIT process should set up 
# the system in a certain run-level. 

# 

# Default runlevel. The runlevels used by RHS are: 

# 0 - halt (Do NOT set initdefault to this) 

# 1 - Single user mode 

# 2- Multiuser, without NFS (The same as 3, if you do not have networking) 
# 3 - Full multiuser mode 

# 4 - unused 

| 

# 6 - reboot (Do NOT set initdefault to this) 

# 


id:5:;initdefault: 


# System initialization. 
si::sysinit:/etc/rc.d/rc.sysinit 


10:0:wait:/etc/rc.d/rc 0 
11:1:wait:/etc/rc.d/rc 1 
12:2:wait:/etc/rc.d/rc 2 
13:3waits/etc/red/re’ 3 
14:4:wait:/etc/rc.d/rc 4 
15:5maits/ete/resd/re 5 
16:6:wait:/etc/rc.d/rc 6 


# Trap CTRL-ALT-DELETE 
ca::ctrlaltdel:/sbin/shutdown -t3 -r now 


# When our UPS tells us power has failed, assume we have a few minutes 

# of power left. Schedule a shutdown for 2 minutes from now. 

# This does, of course, assume you have powerd installed and your 

# UPS connected and working correctly. 

pf: :powerfail:/sbin/shutdown -f -h +2 "Power Failure; System Shutting Down" 


# If power was restored before the shutdown kicked in, cancel it. 
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled" 


Run gettys in standard runlevels 
:2345:respawn:/sbin/mingetty ttyl 
:2345:respawn:/sbin/mingetty tty2 
:2345:respawn:/sbin/mingetty tty3 
:2345:respawn:/sbin/mingetty tty4 
:2345:respawn:/sbin/mingetty tty5 


an 心 wm 埋 


:2345:respawn:/sbin/mingetty tty6 


# Run xdm in runlevel 5 
X:5:respawn:/etc/X11/prefdm -nodaemon 
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【问题 1】(2 分 ) 
启动 init 进程 前 ， 不 需要 经 过 _(1) 步 又。 


A. LILO 加 载 内 核 B. 检测 内 存 
C. 加 载 文件 系统 D. 启动 网 络 支 持 
【问题 2】(2 分 ) 
inittab 文件 存放 在 _(2) 目录 中 。 
A. /etc B. /boot C. /sbin D. /root 


【问题 3】 (2 分) 
Linix 系统 运行 级 别 3 工作 在 _(3) 状态 。 


A. 单 用 户 字符 模式 B. 多 用 户 字符 模式 
C. 单 用 户 图 形 模式 D. 多 用 户 图 形 模式 


【问题 4】(2 分 ) 
根据 说 明 中 inittab 文件 的 内 容 ， 系 统 引 导 成 功 后 ， 工 作 在 _(4) 状态 。 


A. 单 用 户 字符 模式 B. 多 用 户 字符 模式 
C. 单 用 户 图 形 模式 D. 多 用 户 图 形 模式 


【问题 5】(2 分 ) 
在 系统 控制 台 ，_(5) 用 Ctrl+AlttDelete 组 合 键 来 重新 引导 服务 器 。 
A. 允许 B. 不 允许 
【问题 6】(2 分 ) 
假设 root 用 户 执行 init 0 命令 ， 系 统 将 会 _(6) 。 
A. 暂停 B. 关机 C. 重新 启动 B. 初始 化 
【问题 7】(2 分 ) 
root 用 户 执行 ps aux | grep init 命令 ， 得 到 init 的 PD 是 _(7D)。 
A.0 B.1 人 也 D3 
【问题 8】(1 分 ) 


根据 上 述 inittab 文件 的 内 容 ， 系 统 在 引导 过 程 结束 前 ， 至 少 还 要 执行 _(8) 进程 。 


A. re.sysinit 

B. rc.sysinit 和 re 5 

C. re.sysinit, re 0、 rel、 re2、 re3、 rec4、 rec5 和 rc6 
D. re0, rel, re2\ re3、 rec4、 rec5 和 re6 


5.4.4 同步 练习 参考 答案 


答案 : 

【问题 1】D 
【问题 2】A 
【问题 3】B 
【问题 4】D 
【问题 5】A 
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【问题 6】B 
【问题 7】B 
【问题 8】B 


5.5 本 章 小 结 


本 章 知识 点 在 2014 年 的 新 大 纲 中 变化 不 大 ， 只 是 要 求 更 加 明细 化 ， 并 在 表述 方式 上 做 
了 一 些 调整 。 

本 章 主要 要 求 考生 掌握 Linux 网 络 服务 的 基本 功能 以 及 相关 服务 器 的 配置 ， 包 括 
Apache、DNS、DHCP 和 Samba 服务 器 的 配置 。 

本 章 内 容 为 下 午 科目 的 重点 内 容 ， 为 每 次 考试 必 考 的 内 容 。 希 望 考生 针对 相应 的 知识 
点 ， 全 面 掌握 Linux 网 络 服务 的 相关 内 容 。 本 章 的 每 小 节 针对 考试 大 纲 ,组织 了 近 5 年 来 的 
真题 和 小 部 分 模拟 题 ， 这 些 题目 将 有 助 于 考生 理解 和 掌握 大 纲 中 的 知识 点 。 
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大 纲要 求 : 

”访问 控制 与 防火 墙 ， 包 括 ACL 命令 、 过 滤 规 则 和 防火 墙 配置 。 
数字 证 书 。 

VPN 配置 。 

PGP. 

病毒 防护 。 


人 多 


6.1 防火 墙 配置 


6.1.1 考点 辅导 


6.1.1.1 防火 墙 介绍 

任何 企业 安全 策略 的 一 个 主要 部 分 都 是 实现 和 维护 防火 墙 ， 因 此 防火 墙 在 网 络 安全 的 
实现 中 扮演 着 重要 的 角色 。 防 火 墙 通常 位 于 企业 网 络 的 边缘 ， 这 使 得 内 部 网 络 与 nternet 或 
者 其 他 外 部 网 络 互相 隔离 ， 并 限制 网 络 互 访 从 而 保护 企业 内 部 网 络 。 设 置 防火 墙 的 目的 都 
是 在 内 部 网 与 外 部 网 之 间 设 立 唯一 的 通道 ， 简 化 网 络 的 安全 管理 。 

在 众多 的 企业 级 主流 防火 墙 中 ，Cisco PIX 防火 墙 是 所 有 同类 产品 中 性 能 最 好 的 一 种 。 
Cisco PIX 系列 防火 墙 目前 有 5 种 型 号 : PIX506、515、520、5$25 和 535。 这 里 将 以 PIX525 
为 例 介绍 防火 墙 的 配置 。 

6.1.1.2 ”防火 墙 的 物理 特性 

在 配置 PIX 防火 墙 之 前 ， 先 来 介绍 一 下 防火 墙 的 物理 特性 。 防 火 墙 通常 至 少 具 有 3 个 
接口 ， 但 许多 早期 的 防火 墙 只 具有 2 个 接口 。 当 使 用 具有 3 个 接口 的 防火 墙 时 ， 会 产生 至 
少 3 个 网 络 ， 它 们 的 描述 如 下 。 

1. 内 部 区 域 (内 网 ) 

内 部 区 域 通常 就 是 指 企 业内 部 网 络 或 者 企业 内 部 网 络 的 一 部 分 。 它 是 互联 网 
(Interconnection Network) 的 信任 区 域 ， 即 受到 了 防火 墙 的 保护 。 

2. 外 部 区 域 (外 网 ) 

外 部 区 域 通常 指 Internet 或 者 非 企 业内 部 网 络 。 它 是 互联 网 络 中 不 被 信任 的 区 域 ， 当 外 
区 域 想 要 访问 内 部 区 域 的 主机 和 服务 时 ， 通 过 设置 防火 墙 就 可 以 实现 有 限制 的 访问 。 

3. 非 军 事 区 (DMZ) 

非 军事 区 是 一 个 隔离 的 网 络 ， 或 几 个 网 络 。 位 于 非 军事 区 中 的 主机 或 服务 器 被 称 为 堡 


瑟 
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爸 主 机 。 一 般 在 非 军事 区 内 可 以 放置 Web 服务 器 和 E-mail 服务 器 等 。 非 军事 区 对 于 外 部 用 
户 通常 是 可 以 访问 的 ， 这 种 方式 允许 外 部 用 户 访问 企业 的 公开 信息 ， 但 却 不 允许 他 们 访问 
企业 内 部 网 络 。 

6.1.1.3 ”防火 墙 管理 模式 

PIX 防火 墙 提供 以 下 4 种 管理 访问 模式 。 

1. 非特 权 模 式 

PIX 防火 墙 开机 自 检 后 ， 就 是 处 于 这 种 模式 。 系 统 显示 为 pixfirewall> 。 

2. 特权 模式 

输入 enable 命令 即 进入 特权 模式 ， 可 以 改变 当前 配置 。 系 统 显示 为 pixfirewall# 。 

3. 配置 模式 


输入 configure terminal 命令 即 进入 配置 模式 , 绝 大 部 分 的 系统 配置 都 在 这 里 进行 。 系 统 
显示 为 pixfirewall(config)# 。 


4. 监视 模式 

PIX 防火 墙 在 开机 或 重启 过 程 中 ， 按 住 Esc 键 或 发 送 一 个 “Break ”字符 ， 可 以 进入 监 
视 模式 。 在 这 里 可 以 更 新 操作 系统 映像 和 口令 恢复 。 系 统 显示 为 monitor>。 

6.1.1.4 ”PIX 防火 墙 基本 命令 


下 面 介绍 配置 PIX 防火 墙 的 6 个 基本 命令 : nameif、interface、ip address、nat、global 
和 route。 


1. 配置 防火 墙 接 口 的 名 字 ， 并 指定 安全 级 别 (nameif) 


Pix525 (config)#nameif ethernet0 outside security 0 
Pix525 (config)#nameif ethernet1l inside security 100 
Pix525 (config)#nameif dmz security 50 


提示 : 在 默认 配置 中 ， 以 太 网 0 被 命名 为 外 部 接口 (outside)， 安 全 级 别 是 0; 以 太 网 1 
被 命名 为 内 部 接口 (inside)， 安 全 级 别 是 100。 安 全 级 别 的 取 值 范围 为 1~99， 数 字 越 大 安全 
级 别 越 高 。 若 添加 新 的 接口 ， 语 名 如 下 所 示 。 


Pix525 (config)#nameif pix/intf3 security 40 (安全 级 别 任 取 ) 
2. 配置 以 太 口 参数 (interface) 


Pix525 (config)#interface ethernet0 auto (auto 选项 表明 系统 自 适应 网 卡 类 型 ) 
Pix525 (config)#interface ethernet1 100full (100full 选项 表示 100 Mbps 以 太 网 全 
双 工 通信 ) 

Pix525 (config)#interface ethernet1l 100full shutdown (shutdown 选项 表示 关闭 这 
个 接口 ， 若 启用 接口 则 去 掉 shutdown) 


3. 配置 内 外 网 卡 的 他 地 址 (ip address) 


Pix525 (config)#ip address outside 61.144.51.42 255.255.255.248 
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Pix525 (config)#ip address inside 192.168.0.1 255.255.255.0 
提示 : PIX525 防火 墙 在 外 网 的 全 地 址 是 61.144.51.42， 内 网 的 全 地 址 是 192.168.0.1。 
4. 指定 要 进行 转换 的 内 部 地 址 (nat) 
网 络 地 址 翻译 (nat) 的 作用 是 将 内 网 的 私有 人 P 转换 为 外 网 的 公有 他 。nat 命令 总 是 与 
global 命令 一 起 使 用 ， 这 是 因为 nat 命令 可 以 指定 一 台 主 机 或 一 段 范 围 的 主机 访问 外 网 ， 访 
问 外 网 时 需要 利用 global 所 指定 的 地 址 池 进行 对 外 访问 。 

nat 命令 的 配置 语法 如 下 : 

nat (if name) nat id local ip 

其 中 (if name) 表 示 内 网 接口 名 字 ; nat id 用 来 标识 全 局 地 址 池 ， 使 它 与 其 相应 的 global 
命令 相 匹 配 ，local ip 表示 内 网 被 分 配 的 他 地 址 。 例 如 0.0.0.0 表示 内 网 所 有 主机 可 以 对 外 
访问 。 

例 1 

Pix525 (config)#nat (inside) 1 0 0 
表示 启用 nat， 内 网 的 所 有 主机 都 可 以 访问 外 网 ， 用 0 可 以 代表 0.0.0.0。 

例 2 


Pix525 (config)#nat (inside) 1 172.16.5.0 255.255.0.0 
表示 只 有 172.16.5.0 这 个 网 段 内 的 主机 可 以 访问 外 网 。 
5. 指定 外 部 地 址 范围 (global) 


global 命令 把 内 网 的 他 地 址 翻译 成 外 网 的 瑟 地 址 或 一 段 地 址 范围 。 
global 命令 的 配置 语法 如 下 : 


global (if name) nat id ip address-ip address 

其 中 (if_name) 表 示 外 网 接口 名 字 ，nat_id 用 来 标识 全 局 地 址 池 ， 使 它 与 其 相应 的 nat 命 
令 相 匹配 ，ip_address-ip_address 表示 翻译 后 的 单个 卫 地 址 或 一 段 瑟 地 址 的 范围 。 

例 1 

Pix525 (config)#global (outside) 1 61.144.51.42-61.144.51.48 
表示 内 网 的 主机 通过 PIX 防火 墙 要 访问 外 网 时 , PIX 防火 墙 将 使 用 61.144.51.42- 61.144.51.48 
这 段 瑟 地 址 池 为 要 访问 外 网 的 主机 分 配 一 个 全 局 瑟 地 址 。 

例 2 

Pix525 (config)#global (outside) 1 61.144.51.42 
表示 内 网 要 访问 外 网 时 , PIX 防火 墙 将 为 访问 外 网 的 所 有 主机 统一 使 用 61.144.51.42 这 个 单 
一 卫 地 址 。 

例 3 


Pix525 (config)#no global (outside) 1 61.144.51.42 


表示 删除 这 个 全 局 表 项 。 
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6. 设置 指向 内 网 和 外 网 的 静态 路 由 (route) 
route 命令 用 来 定义 一 条 静态 路 由 。 
route 命令 的 配置 语法 如 下 : 
route (if name) 0 0 gateway ip number 
其 中 (if name) 表 示 接 口 名 字 ， 例 如 inside 和 outside; gateway ip 表示 网 关 路 由 器 的 全 
地 址 ;number 表示 到 gateway_ip 的 跳 数 ， 通 常 默认 是 1。 

例 1 

Pix525 (config)#route outside 0 0 61.144.51.168 1 
表示 一 条 指向 边界 路 由 器 (IP 地 址 为 61.144.51.168) 的 默认 路 由 。 

例 2 

Pix525 (config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 

Pix525 (config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 

如 果 内 部 网 络 只 有 一 个 网 段 ， 按 照例 1 那样 设置 一 条 默认 路 由 即 可 ， 如 果 内 部 存在 多 
个 网 络 , 就 需要 配置 一 条 以 上 的 静态 路 由 。 例 2 表示 创建 了 一 条 到 网 络 10.1.1.0 的 静态 路 由 ， 
静态 路 由 的 下 一 条 路 由 器 瑟 地 址 是 172.16.0.1。 

6.1.1.5 ”PIX 防火 墙 高 级 配置 

1. 配置 静态 卫 地址 翻译 (static) 

如 果 从 外 网 发 起 一 个 会 话 , 会 话 的 目的 地 址 是 一 个 内 网 的 下 地址 ，static 就 把 内 部 地 址 
翻译 成 一 个 指定 的 全 局 地 址 ， 人 允许 这 个 会 话 建立 。 
static 命令 的 配置 语法 如 下 : 


static (internal if name, external if name) outside ip address inside 

ip address 

其 中 ，internal if name 表示 内 部 网 络 接口 ， 安 全 级 别 较 高 ， 如 inside。 

external if name 为 外 部 网 络 接口 ， 安 全 级 别 较 低 ， 如 outside 等 。 

outside ip_address 为 正在 访问 的 较 低 安全 级 别 接口 上 的 卫 地 址 。 

inside ip_address 为 内 部 网 络 的 本 地 全 地 址 。 

例 1 

Pix525 (config)#static (inside, outside) 61.144.51.62 192.168.0.8 
表示 于 地 址 为 192.168.0.8 的 主机 ， 对 于 通过 PIX 防火 墙 建立 的 每 个 会 话 ， 都 被 翻译 成 
61.144.51.62 这 个 全 局 地 址 , 也 可 以 理解 成 static 命令 创建 了 内 部 全 地址 192.168.0.8 和 外 部 
全 地 址 61.144.51.62 之 间 的 静态 映射 。 

例 2 


Pix525 (config)#static (inside, outside) 192.168.0.2 10.0.1.3 


表示 创建 了 内 部 卫 地 址 192.168.0.8 和 外 部 卫 地 址 10.0.1.3 之 间 的 静态 映射 。 
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Pix525 (config)#static (dmz, outside) 211.48.16.2 172.16.10.8 


表示 创建 了 DMZ 的 他 地 址 211.48.16.2 和 外 部 卫 地 址 172.16.10.8 之 间 的 静态 映射 。 

以 上 几 个 例子 说 明 使 用 static 命令 可 以 让 我 们 为 一 个 特定 的 内 部 IP 地 址 设置 一 个 永久 
的 全 局 卫 地 址 。 这 样 就 能 够 为 具有 较 低 安 全 级 别 的 指定 接口 创建 一 个 入 口 ， 使 它们 可 以 进 
入 到 具有 较 高 安全 级 别 的 指定 接口 。 

2. 管道 命令 (conduit) 

前 面 讲 过 使 用 static 命令 可 以 在 一 个 本 地 他 地 址 和 一 个 全 局 人 P 地 址 之 间 创 建 一 个 静态 
映射 ， 但 从 外 部 到 内 部 接口 的 连接 仍然 会 被 PIX 防火 墙 的 自 适 应 安全 算法 (ASA) 阻 挡 。 
conduit 命令 用 来 允许 数据 流 从 具有 较 低 安全 级 别 的 接口 流向 具有 较 高 安全 级 别 的 接口 ， 例 
如 允许 从 外 部 到 DMZ 或 内 部 接口 的 入 口 方向 的 会 话 。 对 于 向 内 部 接口 的 连接 ，static 和 
conduit 命令 将 一 起 使 用 ， 来 指定 会 话 的 建立 。 

conduit 命令 的 配置 语法 如 下 。 


conduit permit | deny global ip port<-port> protocol foreign ip 


其 中 ，permit | deny 表示 人 允许 或 拒绝 访问 。 

global ip 指 的 是 先前 由 global 或 static 命令 定义 的 全 局 亿 地 址 ， 如 果 global ip 为 0， 
就 用 any 代替 0， 如 果 global ip 是 一 台 主 机 ， 就 用 host 命令 参数 。 

port 指 的 是 服务 所 作用 的 端口 ， 例 如 www 使 用 80，smtp 使 用 25 等 ， 我 们 可 以 通过 服 
务 名 称 或 端口 数字 来 指定 端 

protocol 指 的 是 连接 协议 ， 比如 TCP、UDP 和 ICMP 等 。 

foreign_ip 表示 可 访问 global ip 的 外 部 全 。 对 于 任意 主机 ， 可 以 用 any 表示 。 如 果 
foreign ip 是 一 台 主机 ， 就 用 host 命令 参数 。 

例 1 


Pix525 (config)#conduit permit tcp host 192.168.0.8 eq www any 

这 个 例子 表示 允许 任何 外 部 主机 对 全 局 地 址 为 192.168.0.8 的 这 台 主 机 进行 http 访问 。 
其 中 使 用 eq 和 一 个 端口 来 允许 或 拒绝 对 这 个 端口 的 访问 。Eq www 就 是 指 允许 或 拒绝 只 对 
www 的 访问 。 

例 2 


Pix525 (config)#conduit deny tcp any eq ftp host 61.144.51.89 


表示 不 允许 外 部 主机 61.144.51.89 对 任何 全 局 地 址 进行 FTP 访问。 
例 3 
Pix525 (config)#conduit permit icmp any any 

表示 人 允许 icmp 消息 向 内 部 和 外 部 通过 。 
例 4 


Pix525 (config)#static (inside，outside) 61.144.51.62 192.168.0.3 
Pix525 (config)#conduit permit tcp host 61.144.51.62 eq www any 
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这 个 例子 说 明了 static 和 conduit 的 关系 。192.168.0.3 在 内 网 是 一 台 Web 服务 器 ， 现 在 
希望 外 网 的 用 户 能 够 通过 PIX 防火 墙 得 到 Web 服务 , 所 以 先 做 static 静 态 映射 , 即 192.168.0.3 
->61.144.51.62( 全 局 )， 然 后 利用 conduit 命令 允许 任何 外 部 主机 对 全 局 地 址 61.144.51.62 进 
行 HITP 访问 。 

3. 配置 fxup 协议 

fixup 命令 的 作用 是 启用 、 禁 止 、 改 变 一 个 服务 或 协议 通过 PIX 防火 墙 ， 由 fixup 命令 
指定 的 端口 是 PIX 防火 墙 要 侦 听 的 服务 。 

例 1 


Pix525 (config)#fixup protocol ftp 21 


表示 启用 FTP 协议 ， 并 指定 FTP 的 端口 号 为 21。 
例 2 

Pix525 (config)#fixup protocol http 80 
Pix525 (config)#fixup protocol http 1080 
表示 为 HTTP 协议 指定 80 和 1080 两 个 端口 。 

例 3 


Pix525 (config)#no fixup protocol smtp 80 
表示 禁用 SMTP 协议 。 
4. 设置 telnet 


telnet 有 一 个 版 本 的 变化 , 在 PIX OS 5.0(PIX 操作 系统 的 版 本 号 ) 之 前 , 只 能 从 内 部 网 络 
上 的 主机 通过 telnet 访问 PIX。 在 PIX OS 5.0 及 后 续 版 本 中 , 可 以 在 所 有 的 接口 上 启用 telnet 
到 PIX 的 访问 。 当 从 外 部 接口 telnet 到 PIX 防火 墙 时 ，telnet 数据 流 需 要 用 IPSec 提供 保护 ， 
也 就 是 说 用 户 必 须 配置 PIX 来 建立 一 条 到 另外 一 台 PIX 路 由 器 或 vpn 客户 端的 IPSec 隧道 。 
另外 就 是 在 PIX 上 配置 SSH, 然后 用 SSH Client 从 外 部 telnet 到 PIX 防火 墙 ,PIX 支持 SSH1 
和 SSH2， 不 过 SSH1 是 免费 软件 ，SSH2 是 商业 软件 。 相 比 之 下 ，Cisco 路 由 器 的 telnet 就 
做 得 不 怎么 样 了 。 

telnet 配置 语法 为 : 


telnet local ip 


提示 : local ip 表示 被 授权 通过 telnet 访 问 到 PIX 的 卫 地 址 。 如果 不 设 此 项 ，PIX 的 配 
置 方式 只 能 由 console 进行 。 


6.1.2 ”典型 例题 分 析 


例 1 阅读 下 列 说 明 ， 回 答 问题 1 至 问题 3， 将 解答 填 入 答题 纸 的 对 应 栏 内 。(2017 年 
上 半年 下 午 试题 二 ) 

【说 明 】 

某 公 司 的 网 络 拓扑 结构 图 如 图 6-1 所 示 。 
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6-1 网络 拓扑 结构 图 


【问题 1】( 共 5 分 ) 

为 了 保障 网 络 安全 ， 该 公司 安装 了 一 款 防 火 墙 ， 对 内 部 网 络 、 服 务 器 以 及 外 部 网 络 进 
行 逻 辑 隔离 ， 其 网 络 结构 如 图 6-1 所 示 。 

包 过 滤 防 火 墙 使 用 ACL 实现 过 滤 功能 ， 常 用 的 ACL 分 为 两 种 ， 编 号 为 _(D) 的 ACL 
根据 下 报 文 的 _(2) _ 域 进行 过 滤 , 称 为 _G)_; 编号 为 _(4) 的 ACL 根据 他 报 文中 的 更 
多 域 对 数据 包 进行 控 制 ， 称 为 _(5) _。 


(1)~(5) 备 选项 : 
A. 标准 访问 控制 列表 B. 扩展 访问 控制 列表 
C. 基于 时 间 的 访问 控制 列表 D.1~99 
E.0~99 F. 100~199 
G. 目的 下地 址 H. 源 耳 地址 
I 源 端口 J 目的 端口 


【问题 2】( 共 6 分 ) 
如 图 6-1 所 示 , 防火 墙 的 三 个 端口 , 端口 @ 是 _(O _、 端 口 O 是 _(7)_、 端 口 @ 是 _(8) 。 


(0)~(8) 备 选项 ， 
A. 外 部 网 络 B. 内 部 网 络 C. 非 军事 区 
【问题 3】( 共 9 分 ) 
公司 内 部 他 地 址 分 配 如 表 6-1 所 示 。 
表 6-1 公司 内 部 IP 地 址 分 配 


部 门 /服务 器 IP 地 址 段 
财务 部 门 192.168.9.0/24 
生产 部 门 192.168.10.0/24 
行政 部 门 192.168.11.0/24 
财务 服务 器 192.168.100.1/24 
Web 服务 器 10.10.200.1/24 


1. 为 保护 内 网 安全 ， 防 火 墙 的 安全 配置 要 求 如 下 。 
(1) 内 外 网 用 户 均 可 访问 Web 服务 器 ， 特 定 主机 200.120.100.1 可 以 通过 Telnet 访问 
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Web 服务 器 。 

(2) 禁止 外 网 用 户 访问 财务 服务 器 ， 禁 止 财务 部 门 访问 Internet， 人 允许 生产 部 门 和 行政 
部 门 访问 Internet。 

根据 以 上 需求 ， 请 按照 防火 墙 的 最 小 特权 原则 补充 完成 表 6-2。 


表 6-2 配置 信息 表 


2. 若 调 换 上 面 配置 中 的 第 3 条 和 第 4 条 规则 的 顺序 ， 则 _46) _。 


(16) 备 选项 ; 
A. 安全 规则 不 发 生变 化 B. 财务 服务 器 将 受到 安全 威胁 
C. Web 服务 器 将 受到 安全 威胁 D. 内 网 用 户 将 无 法 访问 Intemet 
3. 在 上 面 的 配置 中 ， 是 否 实现 了 “禁止 外 网 用 户 访问 财务 服务 器 ”这 条 规则 ? 
答案 : 


【问题 1] ()D QH GIA (WF (5)B 

【问题 2] (OA OC (8)B 

【问题 3】 

1.(9) 10.10.200.1 (10) 80 (11) 200.120.100.1 (12) 23 

(13) 192.168.10.0 (14) 允许 (15) 拒绝 

2.(10)D 

3. 已 经 实现 ， 除 了 允许 的 ， 其 余 均 已 经 禁止 。 

解析 : 

【问题 1】 访 问 控制 列表 用 来 限制 使 用 者 或 设备 ,以 达到 控制 网 络 流量 、 解决 网 络 拥塞 、 
提高 安全 性 的 目的 。 卫 访问 控制 列表 主要 有 两 种 类 型 : 标准 访问 控制 列表 和 扩展 访问 控制 
列表 。 标 准 访问 控制 列表 只 对 数据 包 中 的 源 地 址 进行 检查 ， 以 此 来 判定 是 否 允许 数据 包 通 
过 ， 其 表 号 为 1~99。 扩展 访问 控制 列表 除了 检查 源 地 址 和 目的 地 址 外 ， 还 可 以 检查 指定 的 
协议 或 端口 号 ， 来 对 数据 包 进行 过 滤 ， 其 表 号 为 100 一 199。 

【问题 2】 防火墙 通常 具有 至 少 3 个 接口 ， 使 用 防火 墙 时 ， 至 少 产生 了 3 个 网 络 ， 描 述 
如 下 。 

内 部 区 域 (内 网 )。 内 部 区 域 通常 就 是 指 企业 内 部 网 络 或 者 是 企业 内 部 网 络 的 一 部 分 。 它 
是 互连网 络 的 信任 区 域 ， 即 受到 了 防火 墙 的 保护 。 

外 部 区 域 (外 网 )。 外 部 区 域 通常 指 Internet 或 者 非 企业 内 部 网 络 。 它 是 互连网 络 中 不 被 
信任 的 区 域 ， 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 ， 通 过 防火 墙 ， 就 可 以 实现 有 限 
制 的 访问 。 

非 军事 区 (DMZ, 又 称 停火 区 )。 它 是 一 个 隔离 的 网 络 , 或 几 个 网 络 。 位 于 区 域内 的 主机 
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或 服务 器 被 称 为 堡 全 主机。 一 般 在 非 军事 区 内 可 以 放置 Web、Mail 服务 器 等 。 停 火 区 对 于 
外 部 用 户 通常 是 可 以 访问 的 ， 这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ， 但 却 不 允许 
它们 访问 企业 内 部 网 络 。 
【问题 3] 访问 控制 列表 就 是 用 来 在 路 由 技术 的 网 络 中 ,决定 这 些 数据 流量 是 应 该 被 转 
发 还 是 被 丢弃 的 技术 。 因 此 访问 控制 列表 就 成 了 实现 防火 墙 的 重要 手段 。 设 置 ACL 的 规则 
主要 是 : 按 顺 序 依 行进 行 比较 ， 从 第 一 行 起 直到 找到 一 个 符合 条 件 的 行 ， 符 合 之 后 ， 其 余 
的 行 就 无 须 比 较 了 。 默 认 在 ACL 中 最 后 一 行 都 隐藏 拒绝 所 有 ， 如 果 之 前 没 找到 一 条 permit 
语句 ， 则 意味 着 该 包 将 被 丢弃 。 所 以 每 个 ACL 中 都 应 该 至 少 有 一 行 permit 语句 ， 除 非 用 户 
想 把 所 有 的 数据 包 丢弃 。 
如 果 3 和 4 两 行 的 顺序 调换 ， 会 导致 内 网 的 用 户 无 法 访问 互联 网 。 
禁止 外 网 访问 财务 服务 器 已 经 实现 ， 因 为 配置 中 除了 被 允许 的 ， 其 余 均 已 禁止 。 
例 2 阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 公 司 通 过 PIX 防火 墙 接 入 Intemet， 网 络 拓扑 如 图 6-2 所 示 。 
PIX 防 火 博 


outside 


人 
= 
Bi 


图 6-2 网 络 拓扑 结构 图 
在 防火 墙 上 利用 show 命令 查询 当前 配置 信息 如 下 。 


PIX# show config 


nameif eth0 outside security 0 
nameif ethl inside security 100 
nameif eth2 dmz security 40 


fixup protocol ftp 21 (0) 
fixup protocol http 80 


ip address outside 61.144.51.42 255.255.255.248 
ip address inside 192.168.0.1 255.255.255.0 
ip address dmz 10.10.0.1 255.255.255.0 


global (outside) 1 61.144.51.46 
nat(inside) 1 0.0.0.0 0.0.0.0 


FF 
HH 
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route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 中】 


【问题 1】(4 分 ) 

解析 (1)、(2) 处 画 线 语句 的 含义 。 
【问题 2】(6 分 ) 

根据 配置 信息 ， 填 充 表 6-3。 


表 6-3 配置 信息 表 


IP 地 址 IP 地 址 掩 码 
inside | G3) 255.255.255.0 
61.144.51.42 


255.255.255.0 


【问题 3】(2 分 ) 

根据 所 显示 的 配置 信息 ， 由 inside 域 发 往 Internet 的 卫 分 组 ， 在 到 达 路 由 器 R1 时 的 源 
IP 地 址 是 _(7) 。 

【问题 4】(3 分 ) 

如 果 需 要 在 DMZ 域 的 服务 器 (IP 地 址 为 10.10.0.100) 上 对 Internet 用户 提供 Web 服务 (对 
外 公开 下 地 址 为 61.144.51.43)， 请 补充 完成 下 列 配置 命令 。 


PIX(config)# static(dmz, outside) (8) ._(9) 
PIX(config)# conduit permit tcp host _(10) eq www any 
答案 : 
【问题 1】 
(1) 添 加 可 监听 的 FTP 服务 端口 21 
(2) 定 义 外 部 默认 路 由 61.144.51.45， 跳 数 为 1 
【问题 2】 
(3)192.168.0.1 (4)255.255.255.248 (5)eth2 (6)10.10.0.1 
【问题 3】 
(7)61.144.51.46 
【问题 4】 
(8)10.10.0.100 (9)61.144.51.43 (10)61.144.51.43 
解析 : 
本 题 考查 防火 墙 的 配置 。 
【问题 1】 fixup et pe 0 通过 PIX 防火墙 配 
PIX 防火 墙 侦 听 由 fixup 命令 指定 


bs 


fixup protocol ftp 21 
# 启 用 ftp 协议 ， 并 指定 ftp 的 端口 号 为 21 


route 命令 用 于 设置 指向 内 网 和 外 网 的 静态 路 由 。 


route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 


第 6 章 网 络 安全 
# 定 义 外 部 默认 路 由 61.144.51.45， 跳 数 为 1 
【问题 2〗 程序 解释 如 下 。 


nameif eth0 outside security 0 eth0 

# 被 命名 为 外 部 接口 (outside) ， 安 全 级 别 是 0 
nameif ethl inside security 100 ethl 
# 被 命名 为 内 部 接口 (inside) ， 安 全 级 别 是 100 
nameif eth2 dmz security 40 dmz 

# 被 命名 为 非 军事 区 接口 (outside) ， 安 全 级 别 是 40 


ip address outside 61.144.51.42 255.255.255.248 

# 设 置 外 部 接口 的 IP 为 61.144.51.42， 子 网 掩 码 为 255.255.255.248 
ip address inside 192.168.0.1 255.255.255.0 

# 设 置 内 部 接口 的 IP 为 192.168.0.1， 子 网 掩 码 为 255.255.255.0 
ip address dmz 10.10.0.1 255.255.255.0 

# 设 置 DMZ 接口 的 IP 为 10.10.0.1， 子 网 掩 码 为 255.255.255.0 


【问题 3】 global(outside) 1 61.144.51.46 表示 内 网 的 主机 通过 PIX 防火 墙 访问 外 网 时 
PIX 防火 墙 将 使 用 61.144.51.46 为 要 访问 外 网 的 主机 分 配 一 个 全 局 卫 地 址 。 

nat(inside) 1 0.0.0.0 0.0.0.0 表示 启用 nat， 内 网 的 所 有 主机 都 可 以 访问 外 网 。 

【问题 4】 

PIX(config)# static(dmz，outside) 10.10.0.100 61.144.51.43 

# 任 何 外 部 主机 访问 61.144.51.43 时 ， 防 火 墙 都 映射 到 10.10.0.100 这 个 地 址 


PIX(config)# conduit permit tcp host 61.144.51.43 eq www any 
# 人 允许 任何 外 部 主机 对 全 局 地 址 61 .144.51.43 的 这 台 主 机 进行 http 访问 


6.1.3 同步 练习 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 6， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2016 年 下 
半年 下 午 试题 一 ) 

【说 明 】 

某 企业 的 行政 部 、 技 术 部 和 生产 部 分 布 在 三 个 区 域 ， 随 着 企业 对 信息 化 需求 的 提高 ， 
现 拟 将 网 络 出 口 链 路 由 单 链 路 升级 为 双 链 路 ， 提 升 ERP 系统 服务 能 力 以 及 加 强 员工 上 网 行 
为 管控 。 网 络 管理 员 依据 企业 现 有 网 络 和 新 的 网 络 需求 设计 了 该 企业 网 络 拓扑 图 6-3， 并 对 
网 络 地 址 重新 进行 了 规划 ， 其 中 防火 墙 设备 继承 了 传统 防火 墙 与 路 由 功能 。 

【问题 1】 (4 分 ) 

在 图 6-3 的 防火 墙 设备 中 ， 配 置 双 出 口 链 路 有 提高 总 带宽 、_(D_、 链 路 负载 均衡 作用 。 
通过 配置 链 路 聚合 来 提高 总 带宽 ， 通 过 配置 (2) 来 实现 链 路 负载 均衡 。 

【问题 2】 (4 分 ) 

防火 墙 工作 模式 有 路 由 模式 、 透 明 模式 、 混 合 模式 ， 若 该 防火 墙 接口 均 配 有 卫 地 址 ， 
则 防火 墙 工作 在 _(3) 模式 。 该 模式 下 ，ERP 服务 器 部 署 在 防火 墙 的 (4) 区 域 。 
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JISP1 ISP2 


图 6-3 网 络 拓扑 图 


【问题 3】 (4 分 ) 
若 地 址 规划 如 表 6-4 所 示 ， 从 下 规划 方案 看 该 地 址 的 配置 可 能 有 哪些 方面 的 考虑 ? 


表 6-4 地 址 规划 表 


位 半 或 系统 备注 
i 1013 | i9168100192168130 |o | 
拉 术 部 | 16-17 ”| 192168140~192168170 ”| 80 ”| 按 核 居 人 本, 乌 
生产 部 A 


[12 | 192168220 | | 村 区 城 守 


无 线 网 络 
监控 网 络 信息 点 分 散 
ERP Li TE 


【问题 4】 (3 分 ) 

该 网 络 拓扑 中 ， 上 网 行为 管理 设备 的 位 置 是 否 合适 ? 请 说 明理 由 。 
【问题 5】 (3 分) 

该 网 络 中 有 无 线 节点 的 接 入 ， 在 安全 管理 方面 应 采取 哪些 措施 ? 
【问题 6】(2 分 ) 

该 网 络 中 视频 监控 系统 与 数据 业务 共用 网 络 带宽 ， 存 在 哪些 弊端 ? 


6.1.4 同步 练习 参考 答案 


答案 : 
【问题 1】(1) 链 路 备份 /元 余 (2) 策略 路 由 
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【问题 2】(3) 路 由 (4) 内 部 /inside 

【问题 3】 各 部 门 终端 数 的 扩展 考虑 ， 增 加 部 门 或 部 门 VLAN 的 考虑 ， 监 控 以 及 部 门 
中 信息 点 增加 的 扩展 考虑 。 

【问题 4】 不 合适 ， 应 该 部 署 在 防火 墙 与 核心 交换 机 间 ， 使 用 跨 接 /串联 的 方式 接 入 。 
因为 需要 对 用 户 上 网 行为 进行 管控 ， 需 要 保证 上 网 数据 流 经 上 网 行为 管理 设备 。 

【问题 5】 接 入 认证 、 无 线 加 密 、 隐 藏 SSID、 授 权 管 理 、 审 计 管理 (本 题 分 值 为 3 分 


答对 3 个 即 可 ) 
【问题 6】 视 频 监控 系统 业务 流量 大 ， 如 果 带 宽 不 足 会 影响 数据 业务 的 通信 速率 。 
解析 : 
【问题 1]】 


本 题 考查 企业 网 络 的 规划 相关 知识 ， 包 括 网 络 接 入 策略 、 网 络 拓扑 规划 、 服 务 器 以 及 
网 络 安全 设备 部 署 等 的 综合 应 用 。 

此 类 题目 要 求 考生 具备 较为 丰富 的 网 络 构建 经 验 ， 具 有 对 题目 给 出 的 网 络 环境 进行 分 
析 的 能 力 ， 对 于 题目 给 出 的 某 企 业 网 络 的 应 用 ， 进 行 分 析 并 说 明 该 网 络 部 署 的 依据 。 

在 本 题 中 ， 防 火 墙 部 署 在 企业 网 的 出 口 ， 起 到 了 安全 隔离 内 部 网 与 外 部 网 的 作用 ， 当 
两 条 ISP 链 路 接 入 防火 墙 时 ， 可 以 起 到 提高 总 带宽 、 链 路 宛 余 和 负载 均衡 的 作用 。 一 般 而 
言 ， 增 加 出 口 链 路 数量 必然 会 增加 企业 网 的 出 口 总 带宽 ， 降 低 网 络 拥塞 ， 避 免 网 络 瓶颈 的 
出 现 。 两 条 链 路 也 可 以 起 到 链 路 宛 余 的 作用 ， 当 一 条 链 路 不 可 用 或 者 异常 中 断 时 ， 故 障 链 
路 上 的 数据 可 以 自动 地 切换 到 正常 链 路 之 上 ， 可 以 避免 业务 的 中 断 。 通 过 策略 路 由 对 网 络 
请 求 进行 重 定 向 和 内 容 管理 ， 实 现 数据 在 两 条 链 路 上 的 负载 均衡 。 

【问题 2】 

防火 墙 三 种 工作 模式 的 区 别 如 下 。 

@ 路 由 模式 ， 内 部 网 络 和 外 部 网 络 属 于 不 同 的 子 网 ， 需 要 重新 规划 原 有 的 网 络 拓扑 ， 
接口 需要 配置 全 地 址 ， 接 口 所 在 的 安全 区 域 是 三 层 区 域 .。 

@ 透明 模式 : 内 部 网 络 和 外 部 网 络 属 于 相同 的 子 网 ， 无 须 改 变 原 有 的 网 络 拓扑 ， 接 
口 不 能 配置 他 地 址 ， 接 口 所 在 的 安全 区 域 是 二 层 区 域 。 

@ 混合 模式 : 混合 模式 介 于 路 由 模式 和 透明 模式 , 既 可 以 配置 接口 工作 在 路 由 模式 ( 接 
口 具 有 于 地 址 ), 又 可 以 配置 接口 工作 在 透明 模式 (接口 无 全 地 址 ), 主要 在 Eudemon 1000G 
进行 双 机 热 备 时 使 用 。 

由 于 防火 墙 接 口 均 配 有 也 地 址 ， 很 明显 工作 于 路 由 模式 ; 在 拓扑 图 上 可 以 直接 观察 到 
Web 服务 器 部 署 在 DMZ( 非 军事 ) 区 域 ，ERP 服务 器 部 署 在 内 网 区 域 。 

【问题 3] 

从 琴 规 划 方案 来 看 ,每 个 部 门 划分 三 个 VLAN, 分 配 的 卫 子 网 为 192.168.10.0 一 192.168.20.0， 
其 他 未 被 使 用 的 192.168.X.0 子 网 可 供 扩展 的 VLAN 或 部 门 使 用 ， 每 个 VLAN 规划 的 子 网 
可 用 主机 数 大 于 目前 的 信息 点 数 ， 从 以 后 的 网 络 扩展 角度 来 看 ，VLAN 中 或 部 门 的 信息 点 
数 的 增加 ， 包 括 无 线 网 络 和 监控 网 络 的 信息 点 的 增加 ， 都 可 以 直接 使 用 未 使 用 的 可 用 主机 
地 址 ， 而 不 需要 重新 增加 子 网 或 VLAN。 
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【问题 4】 

上 网 行为 管理 设备 的 位 置 应 该 保证 内 网 用 户 的 上 网 流量 经 过 其 设备 ， 从 而 实现 行为 管 
理 策 略 。 
【问题 5】 

WLAN 基 本 安全 主要 是 无 线 接 入 和 加 密 , 其 措施 可 以 有 SSID 隐藏 . WEP 或 WPA/WAP2 
加 密 、MAC 地 址 过 滤 等 。 当 然 对 于 更 负责 的 安全 管理 还 可 以 结合 AAA 系统 做 认证 、 授 权 、 
计 费 管理 甚至 审计 等 。 

【问题 6】 

该 网 络 中 的 视频 监控 系统 与 数据 业务 共享 带宽 ， 主 要 的 次 端 有 两 个 方面 ， 一 是 视频 监 
控 数 据 量 较 大 并 且 始 终 占用 一 定量 的 带宽 资源 ， 会 影响 业务 数据 ; 二 是 视频 监控 系统 未 做 
安全 防范 部 署 说 明 ， 在 内 部 网 络 中 存在 数据 泄露 风险 。 


6.2 VPN 配置 


6.2.1 考点 辅导 


6.2.1.1 VPN 介绍 


VPN( 虚 拟 专用 网 络 ) 可 以 实现 不 同 网 络 的 组 件 和 资源 之 间 的 相互 连接 。 虚 拟 专 用 网 络 能 
够 利用 Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 隧道 , 并 提供 与 专用 网 络 一 样 的 
安全 和 功能 保障 ， 其 拓扑 结构 如 图 6-4 所 示 。 


专用 加 密 隧道 专用 加 密 隧道 


图 6-4 VPN 实现 网 络 拓扑 结构 图 


VPN 技术 是 将 Internet 作为 计算 机 网 络 主干 的 一 种 网 络 模式 ， 其 基本 特点 就 是 化 公 为 
私 ， 使 每 个 企业 可 以 临时 从 公用 网 中 控 走 一 部 分 地 盘 供 自己 专用 。 所 以 企业 网 络 想 连接 到 
哪里 都 可 以 ， 保 密 性 、 安 全 性 和 可 管理 性 的 问题 也 容易 解决 ， 而 且 还 可 以 降低 网 络 的 使 用 
成 本 。 据 估计 ，VPN 可 以 使 企业 的 远程 访问 和 分 支 机 构 连 接 成 本 降低 50% 以 上 。 

打 个 比方 说 ， 如 果 一 个 外 企 员工 在 驻 北京 办 事 处 工作 ， 其 公司 总 部 却 在 新 加 坡 ， 只 能 
通过 电话 拨号 到 新 加 坡 的 亚太 总 部 来 收发 电子 邮件 和 访问 公司 的 内 部 Web， 电 话费 用 非常 


高 ， 而 且 通信 速度 也 不 理想 。 但 是 ， 假 如 新 加 坡 亚太 总 部 已 经 和 Internet 联网 ， 那 么 只 要 驻 
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北京 办 事 处 申请 一 个 本 地 的 Internet 账号 ， 然 后 借助 Intemet 这 张大 网 ， 就 可 以 与 亚太 总 部 
联 上 了 。 这 样 不 仅 可 以 在 短 时 间 内 与 公司 联网 ， 而 且 只 需 付 出 低廉 的 本 地 电话 费 和 Internet 
使 用 费 。 虚 拟 专 用 网 还 可 以 提供 通信 安全 和 联网 速度 保障 。VPN 的 效果 相当 于 在 Internet 
中 自动 拉 一 条 虚拟 专线 ， 这 条 专线 叫 隧道 (TunneD)。 

6.2.1.2 VPN 的 基本 用 途 

1. 通过 Internet 实现 远程 用 户 访问 

虚拟 专用 网 络 支持 以 安全 的 方式 通过 公共 互联 网 络 远程 访问 企业 资源 。 与 使 用 专线 拨 
打 长 途 电话 连接 企业 的 网 络 接 入 服务 器 (NAS) 不 同 , 虚拟 专用 网 络 用 户 首先 拨 通 本 地 ISP 的 
NAS， 然 后 VPN 软件 利用 与 本 地 ISP 建立 的 连接 在 拨号 用 户 和 企业 VPN 服务 器 之 间 创 建 
一 个 跨越 Internet 或 其 他 公共 互联 网 络 的 虚拟 专用 网 络 。 

2. 通过 Internet 实现 网 络 互联 


可 以 采用 以 下 两 种 方式 使 用 VPN 连接 远程 局 域 网 络 。 

1) ”使 用 专线 连接 分 支 机 构 和 企业 局 域 网 

不 需要 使 用 价格 昂贵 的 长 距离 专用 电路 ， 分 支 机 构 和 企业 端 路 由 器 可 以 使 用 各 自 本 地 
的 专用 线路 通过 本 地 的 ISP 连通 Intemet。VPN 软件 使 用 与 本 地 ISP 建立 的 连接 和 Internet 
网 络 ， 在 分 支 机 构 和 企业 端 路 由 器 之 间 创 建 一 个 虚拟 专用 网 络 。 

2) ”使 用 拨号 线路 连接 分 支 机 构 和 企业 局 域 网 

不 同 于 传统 的 使 用 连接 分 支 机 构 路 由 器 的 专线 拨打 长 途 电话 连接 企业 NAS 的 方式 , 分 
支 机 构 端的 路 由 器 可 以 通过 拨号 方式 连接 本 地 ISP。VPN 软件 使 用 与 本 地 ISP 建 立 起 的 连接 ， 
在 分 支 机 构 和 企业 端 路 由 器 之 间 创 建 一 个 跨越 Internet 的 虚拟 专用 网 络 。 

注意 : 以 上 两 种 方式 通过 使 用 本 地 设备 ， 在 分 支 机 构 和 企业 部 门 与 Internet 之 间 建 立 连 
接 。 无 论 是 在 客户 端 还 是 服务 器 端 都 是 通过 拨打 本 地 接 入 电话 建立 连接 ， 因 此 VPN 可 以 大 
大 节省 连接 的 费用 。 建 议 作为 VPN 服务 器 的 企业 端 路 由 器 使 用 专线 连接 本 地 JISP。VPN 服 
务 器 必须 一 天 24 小 时 对 VPN 数据 流 进 行 监听 。 

3. 连接 企业 内 部 网 络 计算 机 

在 企业 的 内 部 网 络 中 ， 考 虑 到 一 些 部 门 可 能 存储 有 重要 数据 ， 为 确保 数据 的 安全 性 ， 
传统 的 方式 只 能 把 这 些 部 门 同 整个 企业 网 络 断 开 形 成 孤立 的 小 网 络 。 这 样 做 虽然 保护 了 部 
门 的 重要 信息 ， 但 是 由 于 物理 上 的 中 断 ， 使 其 他 部 门 的 用 户 无 法 访问 该 网 络 ， 造 成 通信 上 
的 困难 。 
而 采用 VPN 方案 ， 通 过 使 用 一 台 VPN 服务 器 既 能 够 实现 与 整个 企业 网 络 的 连接 ， 又 
可 以 保证 保密 数据 的 安全 性 。 路 由 器 虽然 也 能 够 实现 网 络 之 间 的 互联 ， 但 是 并 不 能 对 流向 
敏感 网 络 的 数据 进行 限制 。 企 业 网 络 管理 人 员 通 过 使 用 VPN 服务 器 ， 指 定 只 有 符合 特定 身 
份 要 求 的 用 户 才 能 连接 VPN 服务 器 获得 访问 敏感 信息 的 权利 。 此 外 , 它 还 可 以 对 所 有 VPN 
数据 进行 加 密 ， 从 而 确保 数据 的 安全 性 。 没 有 访问 权限 的 用 户 无 法 看 到 部 门 的 局 域 网 络 。 


6.2.1.3 ”VPN 的 基本 要 求 
一 般 来 说 ， 企 业 在 选用 一 种 远程 网 络 互联 方案 时 ， 都 希望 能 够 对 访问 企业 资源 和 信息 
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的 要 求 加 以 控制 ， 因 此 所 选用 的 方案 应 当 既 能 够 实现 授权 用 户 与 企业 局 域 网 资源 的 自由 连 
接 ， 实 现 不 同 分 支 机 构 之 间 的 资源 共享 ， 又 能 够 确保 企业 数据 在 公共 互联 网 络 或 企业 内 部 
网 络 上 传输 时 安全 性 不 受 破坏 。 所以， 最 低 限 度 上 一 个 成 功 的 VPN 方案 应 当 能 够 满足 以 下 所 
有 方面 的 要 求 。 

1. 用 户 验 证 

VPN 方案 必须 能 够 验证 用 户 身份 并 严格 控制 只 有 授权 用 户 才能 访问 VPN。 另 外 ， 方 案 
还 必须 能 够 提供 审计 和 计 费 功能 ， 显 示 何 人 在 何 时 访问 了 何 种 信息 。 

2. 地 址 管理 

VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

3. 数据 加 密 

VPN 方案 必须 对 通过 公共 互联 网 络 传递 的 数据 进行 加 密 ， 确 保 网 络 其 他 未 授权 的 用 户 
无 法 读 取 该 信息 。 

4. 密 铀 管理 

VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

5. 多 协议 支持 

VPN 方案 必须 支持 公共 互联 网 络 上 普遍 使 用 的 基本 协议 , 包括 了 和 IPX 协议 等 。 以 点 
对 点 隧道 协议 (PPTP) 或 第 二 层 隧道 协议 (L2TP) 为 基础 的 VPN 方案 既 能 够 满足 以 上 所 有 的 基 
本 要 求 ， 又 能 够 充分 利用 遍及 世界 各 地 的 Intemet 互联 网 络 的 优势 。 其 他 方案 ， 包 括 安全 卫 
协议 QPSec)， 虽 然 不 能 满足 上 述 全 部 要 求 ， 但 是 仍然 适用 于 特定 的 环境 中 。 本 文 以 下 部 分 
将 主要 讨论 有 关 VPN 的 概念 、 协 议和 部 件 。 


6.2.1.4 ”VPN 的 实现 


VPN 的 建立 可 以 基于 几 种 不 同 的 网 络 协 议 ， 其 中 最 常见 的 是 利用 PPTP 协议 的 VPN 工 
作 方 式 。 

基于 PPTP 协议 (点 对 点 隧道 协议 ) 网 络 连接 方式 的 VPN, 允许 一 台 客 户 机 通过 一 个 公共 
网 络 (如 Intemeb) 建 立 一 个 秘密 的 多 协议 VLAN 网 络 。 因 此 ， 它 可 以 使 公司 远 端的 员工 通过 
Internet 而 不 是 直接 拨号 连接 公司 的 网 络 。 这 就 是 说 ， 通 过 PPTP 的 封装 ， 可 以 使 非 全 网 络 
获得 Internet 通信 的 优点 。PPTP 是 微软 和 其 他 厂家 支持 的 标准 ， 它 是 PPP 协议 的 扩展 ， 可 
以 通过 Internet 建立 多 协议 VPN。 

VPN 模仿 点 对 点 连接 技术 ,依靠 nternet 服务 提供 商 GSP) 和 其 他 的 网 络 服务 提供 商 QNSP) 
在 公用 网 中 建立 自己 专用 的 “隧道 ”， 让 数据 包 通过 这 条 隧道 传输 。 对 于 不 同 的 信息 来 源 ， 
可 分 别 给 它们 开 出 不 同 的 隧道 。 于 是 ， 兼 容 性 问题 、 不 同 的 服务 质量 要 求 以 及 其 他 的 麻烦 
都 迎刃而解 了 。 

PPTP 协议 是 一 种 第 二 层 隧道 协议 。 为 了 传输 来 自 不 同 网 络 的 数据 包 ， 最 普遍 使 用 的 方 
法 是 先 把 各 种 网 络 协议 IP、IPX 和 AppleTalk 等 ) 封 装 到 PPP 中 ， 再 把 这 整个 数据 包装 入 隧 
道 协议 里 。 这 种 双 层 封装 形成 的 数据 包 需 靠 第 二 层 协 议 进 行 传输 ， 所 以 称 之 为 “第 二 层 隧 
道 ”。 另 一 种 方法 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 由 于 形成 的 数据 包 需 靠 第 三 层 
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协议 进行 传输 ， 所 以 称 之 为 “第 三 层 隧道 ”。 
除了 基于 PPTP 模式 的 VPN 之 外 ，VPN 还 可 以 基于 以 下 几 种 协议 。 
1. GRE 一 一 通用 路 由 封装 


GRE 协 议 是 由 Cisco 和 Net-smiths 等 公司 于 1994 年 提交 给 IETF 的 ,相关 文档 为 RFC1701 
和 RFC1702。 目 前 有 多 数 厂 商 的 网 络 设备 均 支 持 GRE 隧道 协议 。 

GRE 规定 了 如 何 用 一 种 网 络 协议 去 封装 男 一 种 网 络 协议 的 方法 。GRE 隧道 由 两 端的 源 
他 地 址 和 目的 他 地 址 来 定义 ,允许 用 户 使 用 他 包 封 装 人 P、IPX 和 AppleTalk 包 ， 并 支持 全 
部 路 由 协议 (如 RIP2 和 OSPF 等 )。 通 过 GRE， 用 户 可 以 利用 公共 IP 网 络 连 接 IPX 网 络 和 
AppleTalk 网 络 ， 还 可 以 使 用 保留 地 址 进行 网 络 互联 ， 或 者 对 公 网 隐藏 企业 网 的 卫 地 址 。 
GRE 只 提供 了 数据 包 的 封装 ， 没 有 加 密 功能 来 防止 网 络 侦 听 和 攻击 ， 所 以 在 实际 环境 中 经 
常 与 IPSee 一 起 使 用 ， 由 IPSec 提供 用 户 数据 的 加 密 ， 从 而 给 用 户 提供 更 好 的 安全 性 。 

2.L2TP 一 一 第 二 层 隧道 协议 

除 Microsoft 外 , 还 有 一 些 厂 家 也 做 了 许多 开发 工作 。 PPTP 能 支持 Macintosh 和 UNIX， 
而 Cisco 的 L2F(Layer2 Forwarding) 也 是 一 个 隧道 协议 。Microsoft、Cisco 和 其 他 一 些 网 络 厂 
商 正 一 起 努力 使 L2F 与 PPTP 融合 ， 产 生 一 个 新 的 L2TP 协议 。L2TP 和 PPTP 十 分 相似 ， 
因为 L2TP 有 一 部 分 就 是 采用 PPTP 协议 , 这 两 个 协议 都 允许 客户 通过 其 间 的 网 络 建立 隧道 。 
L2TP 还 支持 信道 认证 ， 但 它 没有 规定 信道 保护 的 方法 。 

3. IPSec 一 一 卫 Security 

开发 这 个 协议 的 目的 是 解决 当前 协议 中 存在 的 一 些 缺 点 。IPSec 是 由 IETF IP 安全 性 工 
作 组 定义 的 协议 集 ， 用 于 确保 网 络 层 之 间 的 安全 通信 。 该 协议 草案 建议 使 用 IPSec 协议 集 保 
护卫 网 和 非 卫 网 上 的 L2TP 业务 ， 并 规定 了 如 何 共同 使 用 IPSec 和 L2FP。 下 一 小 节 将 对 
IPSec 的 配置 作 详细 介绍 。 

6.2.1.5 ”硬件 平台 的 VPN 配置 

VPN 的 配置 是 当代 技术 领域 的 热点 问题 ， 也 是 下 午 考试 的 重点 内 容 ， 尤 其 在 最 近 几 年 
几乎 每 年 必 考 。 为 了 帮助 考生 快速 掌握 VPN 的 具体 实现 ， 下 面 以 Cisco 路 由 器 为 例 ， 简 单 
介绍 一 下 VPN 的 配置 过 程 以 及 相关 命令 。 

1. 场景 描述 

一 边 服务 器 的 网 络 子 网 为 192.168.1.0/24， 路 由 器 为 100.10.15.1; 另 一 边 服 务 器 的 网 络 
子 网 为 192.168.10.0/24， 路 由 器 为 200.20.25.1。 

2. 执行 步骤 

(1) 确定 一 个 预先 共享 的 密 钥 (保密 密码 )( 以 下 例子 保密 密码 假设 为 noIP4u)。 

(2) 为 SA 协商 过 程 配置 下 E。 

(3) 配置 IPSec。 

3. 配置 IKE 


Shelby (config)#crypto isakmp policy 1 


说 明 : policy 1 表示 策略 1， 假 如 想 多 配 几 个 VPN， 可 以 写成 policy 2、policy3…… 
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Shelby (config-isakmp)#group 1 


说 明 : 除非 购买 高 端 路 由 器 ， 或 是 VPN 通信 比较 少 ， 否 则 最 好 使 用 group 1 长 度 的 密 
钥 。group 命令 有 两 个 参数 值 ， 即 1 和 2。 参 数值 1 表示 使 用 768 位 密 钥 ， 参 数值 2 表示 使 
用 1024 位 密 钥 。 显 然后 一 种 密 钥 安全 性 高 ， 但 消耗 更 多 的 CPU 和 时 间 。 


Shelby (config-isakmp)#authentication pre-share 


说 明 : 告诉 路 由 器 要 使 用 预先 共享 的 密码 。 


Shelby(config-isakmp)#1ifetime 3600 


说 明 : 对 生成 新 SA 的 周期 进行 调整 。 这 个 值 以 秒 为 单位 ， 默 认 值 为 86 400， 也 就 是 一 
天 。 值 得 注意 的 是 ， 两 端的 路 由 器 都 要 设置 相同 的 SA 周期 ,否则 VPN 在 正常 初始 化 之 后 ， 
en 个 SA 周期 到 达 中 断 。 


Shelby (config)#crypto isakmp key noIP4u address 200.20.25.1 


说 明 : 返回 到 全 局 设置 模式 确定 要 使 用 的 预先 共享 密 钥 和 指定 VPN 另 一 端 路 由 器 人 Pp 
地 址 ， 即 目的 路 由 器 他 地址。 相应 的 在 另 一 端 路 由 器 的 配置 也 和 以 上 命令 类 似 ， 只 不 过 把 
也 地 址 改 成 100.10.15.1。 

4. 配置 IPSec 


Shelby (config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 
0.0.0.255 


说 明 ， 在 这 里 使 用 的 访问 列表 号 不 能 与 任何 过 滤 访 问 列表 相同 ， 应 该 使 用 不 同 的 访问 
列表 号 来 标识 VPN 规则 。 

Shelby (config)#crypto ipsec transform-set Vpnl ah-md5-hmac esp-des 

esp-md5-hmac 


说 明 : 在 这 里 两 端 路 由 器 唯一 不 同 的 参数 是 vpn1, 这 是 为 这 种 选项 组 合 所 定义 的 名 称 。 
在 两 端的 路 由 器 上 , 这 个 名 称 可 以 相同 , 也 可 以 不 同 。 以 上 命令 是 定义 所 使 用 的 IPSec 参数 。 
为 了 加 强 安全 性 ， 要 启动 验证 报头 。 由 于 两 个 网 络 都 使 用 私有 地 址 空间 ， 需 要 通过 隧道 传 
输 数据 ， 因 此 还 要 使 用 安全 封装 协议 。 最 后 ， 还 要 定义 DES 作为 保密 密 钥 的 加 密 算 法 。 

Shelby (config)#crypto map shortsec 60 ipsec-isakmp 

说 明 :， 以 上 命令 为 定义 生成 新 保密 密 钥 的 周期 。 如 果 攻 击 者 破解 了 保密 密 钥 ， 他 就 能 
够 解 开 使 用 同一 个 密 钥 的 所 有 通信 。 基 于 这 个 原因 ， 我 们 要 设置 一 个 较 短 的 密 钥 更 新 周期 。 
比如 ， 每 分 钟 生成 一 个 新 密 钥 。 这 个 命令 在 VPN 两 端的 路 由 器 上 必须 匹配 。 参 数 shortsec 
是 我 们 给 这 个 配置 定义 的 名 称 ， 稍 后 可 以 将 它 与 路 由 器 的 外 部 接口 建立 关联 。 

Shelby (config-crypto-map)#set peer 200.20.25.1 


说 明 ， 这 是 标识 对 方 路 由 器 的 合法 人 P 地 址 。 在 远程 路 由 器 上 也 要 输入 类 似 命令 ， 只 是 
对 方 路 由 器 地 址 应 该 是 100.10.15.1。 


Shelby (config-crypto-map)#set transform-set vpnl 


Shelby (config-crypto-map)#match address 130 
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说 明 ， 这 两 个 命令 分 别 用 于 标识 这 个 连接 的 传输 设置 和 访问 列表 。 


Shelby (config)#interface s0 

Shelby (config-if)#crypto map shortsec 

说 明 : 将 刚才 定义 的 密码 图 应 用 到 路 由 器 的 外 部 接口 上 。 

6.2.1.6 Windows 平台 的 VPN 配置 

1. 创建 VPN 服务 器 

Windows Server 2003 中 VPN 服务 被 称 为 “路 由 和 远程 访问 ”， 默 认 状 态 已 经 安装 。 只 
需 对 此 服务 进行 必要 的 配置 使 其 生效 即 可 。 创 建 VPN 服务 器 的 步骤 如 下 。 

(1) 以 管理 员 身 份 登录 Windows Server 2003， 依 次 选择 “开始 ”一 “管理 工具 ”命令 ， 
运行 “配置 您 的 服务 器 向 导 ” 命 令 ， 启 动 如 图 6-5 所 示 的 “配置 您 的 服务 器 向 导 ” 对 话 框 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 在 如 图 6-6 所 示 的 “预备 步骤 ”界面 中 ， 单 击 “ 下 一 步 ” 按钮 。 


欢迎 使 用 “配置 您 的 服务 器 向 导 ” eg eee | 
和 拓 攻 个 由 AT 
So 二 Se 
有 大 要 时。 


人 时 划 人 有 上 所 吕 和 Txterant ,现在 二 和 hntenet, 


”打开 所 有 外 图 设 备 ， 例 如 打印 机 和 外 部 下 动 器 ， 
有 弄 aims Server 2003 安装 0D， 或 知道 网 属 安 装 路 和 ， 


要 外 挫 ， 请 单 出 “下 一 步 ”。 
音 击 “下 一 市 ”， 疝 导 检 搜索 问 交 注 返 ， 


sv MW | 岗 | 


图 6-5 “配置 您 的 服务 器 向 导 ” 对 话 框 图 6-6 “预备 步骤 ”界面 
(3) 在 如 图 6-7 所 示 的 “服务 器 角色 ”界面 中 ， 选 择 “ 远 程 访问 /VPN 服务 器 ”选项 ， 单 
击 i 步 ” 按钮 。 
(4) 在 如 图 6-8 所 示 的 “选择 总 结 ” 界 面 中 ， 单 击 “ 下 一 步 ”按钮 。 
因 
二 和 扣 果 在 上 服务 器 上 添 Z 一 个 以 上 入 和 回 MO 
MA Se - me ry 和 
人 
Se 要 更 必 引 的 选 每 ， 单 击 “ 上 一 步 ”， 要 继 丢 设 轩 此 有 色 ， 羊 击 “ 下 一 步 ” 
sl | ZESv Ey | Sew | 
图 6-7 “服务 器 角色 ”界面 图 6-8 “选择 总 结 ” 界面 
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(5) 系统 启动 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 ， 如 图 6-9 所 示 ， 和 
击 “ 下 一 步 ” 按 钮 。 

(6) 在 如 图 6-10 所 示 的 “配置 ”界面 中 ， 选 中 “远程 访问 (拨号 或 VPN)” 单 选 按钮 ， 
然后 单 击 “ 下 一 步 ”按钮 。 


路 由 和 运程 访问 最 务 器 安装 闪 导 路 由 和 运程 访问 最 务 器 安装 自 导 
欢迎 使 用 路 由 和 运程 访问 服务 器 安装 向 导 配 秆 
你 可 以 局 月 下 列 服 务 的 任意 后， 或 者 人 可 以 自 定义 此 银 务 器 ， Das 


此 疝 导 帮助 您 设置 服务 器 ， 使 您 可 以 连接 到 其 它 网 络 
并 爷 活 来 目 还 程 客户 端的 连接 
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et 这 拉 到 | 比 及 务 和 本 地 客户 请 使 用 一 个 单一 的 

六 强 EE 
个 两 个 专用 网 续 之 间 的 安全 连接 

书 此 网 各 连接 到 一 个 远程 同 络 ， 人 
个 自 定义 甩 置 
迄 择 在 路 由 和 运程 访问 中 的 任何 可 用 功能 的 姐 合 。 
有 关 这 些 千 项 的 更 多 信息 ， 请 驳 阅 聊 由 和 远 程 访问 和 助 ， 


《上 一 步 @) 职 消 


图 6-9 “欢迎 使 用 路 由 和 远程 访问 服务 器 图 6-10 “配置 ”界面 
安装 向 导 ” 界 面 


(7) 在 如 图 6-11 所 示 的 “远程 访问 ”界面 中 , 选中 VPN 复 选 框 , 单 击 “ 下 一 步 ”按钮 。 
(8) 接 下 来 , 向 导 界 面 将 列 出 系统 上 所 有 的 网 络 接口 。 选 择 与 Internet 相连 的 网 络 接口 ， 
如 图 6-12 所 示 ， 单 击 “ 下 一 步 ”按钮 。 


路 由 和 远程 访问 服务 器 安装 向导 路 由 和 远程 访问 服务 器 安装 向 导 
运程 访问 YPT 连接 
您 可 以 配置 此 服务 吕 按 有 所 号 连接 和 VPN 连接 。 Da 要 nn 客户 凡 拉 到 上 有 和 各 至 少 要 有 一 个 接口 Das) 
nternets 


渤 拉 特 灶 服务 器重 接 到 Internet 的 网 络 接口。 
了 六 接口 了 


VE La (也 称 为 YPN 网关) 可 以 通过 Internet 从 远程 客户 篇 接 名 称 撕 述 | TP 地 址 
当主 接 。 hr 0 1 
2 1 


厂 热 号 WW 
Pp wonmalna Aiae 


通过 设置 静 才 数据 包 第 过 器 来 对 选择 的 接口 进行 保护 ED)， 
静 帮 数据 包 第 选 器 只 允 评 VPN 通讯 通过 选 定 的 接口 访问 此 服务 器 。 


有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 和 远 程 访问 时 助 ， 


| Cs 加 


图 6-11 “远程 访问 ”界面 图 6-12 选择 网 络 接口 


(9) 在 如 图 6-13 所 示 的 “IP 地 址 指定 ”界面 中 ， 需 要 选择 如 何 为 远程 客户 端 分 配 下 
地 址 。 如 果 局 域 网 中 配置 了 DHCP 服务 器 ， 则 可 由 DHCP 服务 器 从 其 地 址 池 中 为 远程 客户 
分 配 下 地址， 否则 需要 手工 设置 一 个 人 P 地 址 范围 ， 用 于 分 配给 远程 客户 端 使 用 。 这 里 我 们 
选中 “自动 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 

(10) 在 如 图 6-14 所 示 的 “管理 多 个 远程 访问 服务 器 ”界面 中 ， 选 中 “和 否 ， 使 用 路 由 和 
远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
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(11) 系统 将 开始 配置 VPN 服务 ， 配 置 完 成 后 ， 将 打开 如 图 6-15 所 示 的 “正在 完成 路 由 
和 远程 访问 服务 器 安装 向 导 ” 界 面 ， 单 击 “完成 ”按钮 。 
(12) 在 如 图 6-16 所 示 的 “配置 你 的 服务 器 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 。 


I? 地 二 指定 
称 可 以 过 择 对 远 得 客户 请 指派 IF 地 直 的 方法 。 各 理 多 个 运 各 访问 服务 吕 
per 
务 PAITLS ) 服 务 器 渤 行 和 3 
你 起 如 何 对 运程 客户 江 措 拍 7 地 址 ? 
Ey es 
Nps RA 
2 a Ee pt Lt 
多 起 设置 寺 季 务 器 与 AITIS 最 多 器 一 起 工作 97 
1 十 全 月 5 上 和 5 访问 末 计生 妆 清 玉生 和 流放 网] 
三 是 ， 访 时 此 服务 器 与 RADIUS 服务 器 一 起 工作 O) 
《上 - 步 因 取消 取消 
图 6-13 “IP 地 址 指定 ”界面 图 6-14 “管理 多 个 远程 访问 服务 器 ”界面 
四 
正在 充 由 路 由 和 运程 访问 服务 器 安装 向 导 此 服务 器 现在 是 远程 访问 /VPN 服务 器 
地 已 SSG 出 3 答 沪 名 报名 旬 安 并 向 导 。 PA 请 再 次 运行 “ 耽 修 的 服务 器 
者 此 旬 包 下 面 的 上 要 
村 成 负 M a 误 
请 昌 机 “完成 来 关闭 此 疝 时 。 要 查看 人 的 更 交 的 记 好 ， 请 关 周 “也 重修 的 服务 中 身 号 ” 电 志 ， 
要 基站 向 导 ， 请 单 击 “完成 ”。 
6-15 “正在 完成 路 由 和 远程 访问 服务 器 6-16 ”VPN 服务 器 配置 完成 
安装 向 导 ” 界 面 


VPN 服务 器 创建 完成 后 ， 用 户 可 通过 依次 选择 “开始 ”一 “管理 工具 ”命令 ,运行 “路 
由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 远程 访问 ”控制 台 ， 如 图 6-17 所 示 。 在 此 ， 用 户 可 对 
VPN 服务 器 进行 … 些 管 千 理 和 参数 的 设置 。 当 然 ， 此 时 即使 不 做 任何 额外 的 设置 ，VPN 服务 
器 也 能 正常 工作 。 

2. 添加 权限 账户 

拨 入 VPN 服务 器 需要 有 一 个 账号 ， 默 认 情况 下 ， 用 户 远程 访问 的 权限 是 被 禁止 的 。 

要 允许 某 个 用 户 拥 有 访问 VPN 服务 器 的 权限 , 需要 在 用 户 的 属性 对 话 框 中 单 击 “ 拨 入 ” 

标签 ， 在 “远程 访问 权限 ( 拨 入 或 VPN) ”选项 组 中 选中 “人 允许 访问 ” 单 选 按钮 ， 以 允许 该 用 
户 通过 VPN 拨 入 服务 器 ， 如 图 6-18 所 示 。 
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Ed| 
第 现 | 地址 | 帐户 | 配置 文件 | 电话 | 车位 “| 素 展 于 
撤 入 “| 环境 | 会 话 | 远程 控制 | 终 冰 服务 配置 文件 | co 
放权 限 明和 或 ma 
gy 和 WD 
本 和 Er 氏 
+ +? 国 i 
i 人 间 jz 委 沪 第 下拉 拉 洲 襄 如 
本 强 
尿 凶 全 用 光 由 和 下 和 访问 三 
路 由 和 运程 访问 提供 到 专用 网 络 的 六 全 远程 访问 <。 f 
用 器 由 和 元 和 访问 守 配 置 下 人 不 回 扩 吕 ) 
要 总 ， 丙 个 专 有 网络 之 同 的 安全 连 攻 。 个 由 呼叫 方 设置 ( 羽 贬 由 和 渤 程 沪 问 服务 ) G) 
和 各 二 可 l 织 座 所 元 用 网络 (PPI) 网 关 ， 个 总 是 回执 到 们 ); 
访问 和 并， 
、 同好 址 竺 摘 (NET)。 | FS 
[于 研 #a8 一 | 
ee 为 入 这 按 定义 要 月 用 的 路 由 。 [a2 
A 在 “ 蝇 作 ” 本 单 ， 单 村 “其 轨 JE 
有 关 安 关中 由 和 到 访问 ， 部 时 方案 有 级 更 多 信息 
请 由， 
i - EJ Ww | mo | 
6-17 “路 由 和 远程 访问 ”控制 台 图 6-18 “ 拨 入 ”选项 卡 


3. 连接 VPN 服务 器 


在 Windows XP 上 连接 VPN 的 操作 步骤 如 下 。 
(1) 打开 “控制 面板 ”窗口 ， 如 图 6-19 所 示 ， 单 击 “ 网 络 和 Intemet 连接 ”图 标 。 
(2) 在 如 图 6-20 所 示 的 “网 络 和 Intemet 连接 ”窗口 中 ,选择 “创建 一 个 到 您 的 工作 位 


置 的 网 络 连接 ”选项 。 


Co Tr 


© 广 | 万 央 Erna | 


中 TRE 


- 语 mpen 


vy 
OO KEANE 


咏 zm 


(2 下、 本 有 和 站 和 


BD emer 


= pe -pe 
图 6-19 “控制 面板 ”窗口 6-20 “网 络 和 Internet 连接 ”窗口 


(3) 在 如 图 6-21 所 示 的 “网 络 连接 ”界面 中 选中 “虚拟 专用 网 络 连接 ” 单 选 按钮 ， 单 
击 “ 下 一 步 ”按钮 。 

(4) 在 如 图 6-22 所 示 的 “连接 名 ”界面 中 输入 连接 名 称 ， 如 公司 的 名 称 ， 单 击 “下 一 
步 ”按钮 。 

(5) 在 如 图 6-23 所 示 的 “VPN 服务 器 选择 ”界面 中 ， 输 入 VPN 服务 器 的 主机 名 或 者 
卫 地 址 ， 例 如 ，vpn.example.com， 单 击 “ 下 一 步 ” 按 钮 。 

(6) 在 如 图 6-24 所 示 的 “正在 完成 新 建 连接 向 导 ” 界 面 中 ， 单 击 “ 完 成 ”按钮 。 

VPN 连接 创建 完成 后 ， 双 击 桌面 上 的 VPN 连接 图 标 ， 在 弹出 的 “连接 example.com” 
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对 话 框 中 输入 用 户 名 和 密码 ， 如 图 6-25 所 示 ， 然 后 单 击 “ 连 接 ” 按 钮 ， 就 可 以 与 VPN 服务 
器 连接 上 了 。 


图 新 建 连 接 向 导 


网 络 连 拓 连接 名 
悠 想 要 在 工作 点 如 问 与 网 络 连接 ? 指定 连接 到 悠 的 工作 场所 的 连接 和 名称, 


在 下 面 恰 中 输入 此 沁 接 的 名 称 。 


创 陵 下 列 连 接 
口 搞 呈 连接 O) 2 内 
和 BE 和 中 WE 拉 ， 了 和 sn 中 pr | 


回 虚拟 专用 网 络 连接 (VY) 例 2 ， 悠 可 以 输入 悠 的 工作 地 点 名 或 您 连接 到 的 服务 器 名 ， 


借用 虚拟 专用 网 络 (WP) 通过 Internet 连接 到 网 络 , 


图 6-21 “网 络 连接 ”界面 图 6-22 “连接 名 ”界面 


图 新 建 连 按 向 导 图 新 建 连 按 向 导 


Wri J 


输入 修正 连接 的 计算 机 的 主机 名 或 IF 地址, 您 已 成 功 完成 创建 下 列 连 接 希 要 的 步 对 


exumple com 


主机 名 或 匡 地 址 例如 ，mierosoft eom 或 157.54.0.0 00 
， 与 此 计算 机 上 的 所 有 用 户 共 享 


[ma eple em 


此 这 接 格 被 存 入 “网 络 连接 " 文件 洋 。 
回 隐 和 的 夺 而 上 湛 贡 二 个 和 由 接 卫 人 十 放 世人 ] 


要 创建 此 连接 并 关闭 向 导 ， 单 击 “ 完 成 ”，。 


CEE Cm 


6-23 “VPN 服务 器 选择 ”界面 图 6-24 “正在 完成 新 建 连接 向 导 ” 界 面 


连接 example. com 


用 记名: lining 


密码 ) Pr 


加 中 下 面 用 疡 保存 用 户 儿 条 要 码 6 
DR 是 我 
人 任何 使 用 此 计算 机 的 人 GA) 


二 OO ] [ 哺 ] [_ 恰 o ] [各 om 
6-25 连接 VPN 服务 器 
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6.2.2 ”典型 例题 分 析 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 

某 公司 有 两 个 办 事 处 ， 分 别 利用 装 有 Windows Server 2008 的 双 宿 主机 实现 路 由 功能 ， 
此 功能 由 Windows Server 2008 中 的 路 由 和 远程 访问 服务 来 完成 。 管 理 员 分 别 为 这 两 台 主 机 
其 中 一 个 网 卡 配置 了 不 同 的 他 地 址 ， 如 图 6-26 所 示 。 


192.168.0.3 


l 
\192.168.0.8 


6-26 配置 IP 地址 


【问题 1】(4 分 ) 
在 “管理 您 的 服务 器 ”中 单 击 “ 添 加 或 删除 角色 ”， 此 时 应 当 在 服务 器 角色 中 选择 _(D 
来 完成 路 由 和 远程 访问 服务 的 安装 。 在 下 列 关于 路 由 和 远程 访问 服务 的 选项 中 ， 不 正确 的 


是 _(2)_。 
(1) 备 选 答案 : 
A. 文件 服务 器 B. 应 用 程序 服务 器 (IS，ASP.NET) 
C. 终端 服务 器 D. 远程 访问 /VPN 服务 
(2) 备 选 答案 ; 


A. 可 连接 局 域 网 的 不 同 网 段 或 子 网 ， 实 现 软件 路 由 器 的 功能 
B. 把 分 支 机 构 与 企业 网 络 通 过 Intranet 连接 起 来 ， 实 现 资源 共享 
C. 可 使 远程 计算 机 接 入 到 企业 网 络 中 访问 网 络 资源 
D. 必须 通过 VPN 才能 使 远程 计算 机 访问 企业 网 络 中 的 网 络 资源 
【问题 2】(4 分 ) 
两 个 办 事 处 子 网 的 计算 机 安装 Windows 7 操作 系统 ， 要 实现 两 个 子 网 间 的 通信 ， 子 网 
A 和 子 网 B 中 计算 机 的 网 关 分 别 为 _G) _ 和 (4) 。 子 网 A 中 的 计算 机 用 ping 命令 来 验 
证 数据 包 能 和 否 路 由 到 子 网 B 中 ,图 6-27 中 参数 使 用 默认 值 ， 从 参数 _(5)_ 可 以 看 出 数据 包 
经 过 了 _(6) 个 路 由 器 。 
A.192.168.0.0 B.192.168.0.1 CC.192.168.0.3 D. 无 须 配置 网 关 
(4) 备 选 答案 : 
A. 10.0.0.0 B. 10.0.0.1 C. 10.0.0.2 D. 无 须 配置 网 关 
(5) 备 选 答案 : 
A. bytes B. time © TL D. Lost 
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C:\>ping 10.0.0.4 

Pinging 10.0.0.4 with 32 bytes of data: 

Reply from 10.0.0.4: bytes=32 time=10ms TTL=122 
Reply from 10.0.0.4: bytes=32 time<10ms TIL=122 
Reply from 10.0.0.4: bytes=32 time<10ms TIL=122 
Reply from 10.0.0.4: bytes=32 time<<10ms TTL=122 


Ping statistics for 10.0.0.4: 

Packets: Sent = 4, Received = 4, Lost = 0 <0% loss>, 
Approximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = lOms, Average = 2ms 
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【问题 3】(8 分 ) 

Windows Server 2008 支持 RIP 动态 路 由 协议 。 在 RIP 接口 属性 页 中 ， 如 果 希 望 路 由 器 
每 隔 一 段 时 间 向 自己 的 邻居 广播 路 由 表 以 进行 路 由 信息 的 交换 和 更 新 ， 则 需要 在 “操作 模 
式 ” 中 选择 _(7) _。 在 “ 传 出 数据 包 协议 ”中 选择 _(8) _， 使 网 络 中 其 他 运行 不 同 版 本 的 
邻居 路 由 器 都 可 接受 此 路 由 器 的 路 由 表 ; 在 “ 传 入 数据 包 协 议 ” 中 选择 _(9) _， 使 网 络 中 
其 他 运行 不 同 版 本 的 邻居 路 由 器 都 可 向 此 广播 路 由 表 。 


(7) 备 选 答案 : 

A. 周期 性 的 更 新 模式 B. 自动 -静态 更 新 模式 
(8) 备 选 答案 ; 

A. RIPv1 广播 B. RIPv2 多 播 C.RIPv2 广播 
(9) 备 选 答案 : 

A. 只 是 RIPvV1 B. 只 是 RIPvV2 

C. RIPv1 和 v2 D. 忽略 传 入 数据 包 


为 了 保护 路 由 器 之 间 的 安全 通信 ， 可 以 为 路 由 器 配置 身份 验证 。 选 中 “激活 身份 验证 ” 
复 选 框 ， 并 在 “密码 ”文本 框 中 输入 一 个 密码 。 所 有 路 由 器 都 要 做 此 配置 ， 所 配置 的 密码 
(10)_。 
(10) 备 选 答案 : 
A. 可 以 不 同 B. 必须 相同 
【问题 4】(4 分 ) 
由 于 在 子 网 A 中 出 现 病毒 ， 需 在 路 由 接口 上 启动 过 滤 功 能 ， 不 允许 子 网 B 接收 来 自 子 
网 A 的 数据 包 , 在 选择 入 站 筛选 器 且 筛 选 条 件 是 “接收 所 有 除 符合 下 列 条 件 以 外 的 数据 包 ?” 
时 ， 如 图 6-28 所 示 ， 由 源 网 络 人 P 地 址 和 子 网 掩 码 得 到 的 网 络 地 址 是 _(1D _， 由 目标 网 络 
卫 地 址 和 子 网 掩 码 得 到 的 网 络 地 址 是 _(12) ， 需要 选择 协议 _(13) _。 如 果 选 择 协 议 _(14) ， 
则 会 出 现 子 网 A 和 子 网 B 之 间 ping 不 通 但 是 子 网 B 能 接收 来 自 子 网 A 的 数据 包 的 情况 。 
(11) 备 选 答案 : 
A. 192.168.0.0  B.192.168.0.1 CC.192.168.03 D.192.168.0.8 


(12) 备 选 答案 : 

A. 10.0.0.0 B. 10.0.0.1 C. 10.0.0.3 D. 10.0.0.4 
(13) 一 (14) 备 选 答案 ; 

A.ICMP B.TCP C.UDP D. 任何 
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相对 
厂 源 网 络 G) 
TP 地 址 到 ): 
子 网 掩 码 ); 
厂 目标 网 络 @) 
IP 地 址 @): 
子 网 掩 码 @) : 
协议 @): 了 
TCF 
|TCP (已 建 立 的 ) 
UDP 
ICHMP 
Cm ]_ mw | 


6-28 “添加 IP 筛选 器 ”对 话 框 


答案 : 

【问题 1] ()D (2D 

【问题 2] (3)C (4)C (5)C (6)133 

【问题 3] (7)A (8)A (9)C (10B 

【问题 4] (ID)A (2D (3)D (9)A 

解析 : 

【问题 1】 在 Windows 系统 中 ， 要 想 实现 路 由 和 远程 访问 服务 需要 以 管理 员 身 份 登录 ， 
打开 “控制 面板 ”窗口 ， 运 行 “ 添 加 和 删除 程序 ”命令 ， 选 择 “ 添 加 或 删除 Windows 组 件 ”， 
启动 Windows 组 件 向 导 ， 选 择 “远程 访问 /VPN 服务 ” 即 可 。 

针对 普通 用 户 的 远程 访问 需求 ， 较 为 常见 的 方式 有 3 类 。 

第 一 类 是 直接 开放 内 部 应 用 系统 的 端口 ， 允 许 外 部 IP 直接 访问 ， 通 过 应 用 系统 自身 的 
账号 验证 机 制 防范 非法 用 户 。 

第 二 类 是 利用 Windows Server 2003 及 更 新 的 版 本 所 提供 的 Terminal Service 功能 ,在 外 
部 PC 上 运行 Windows 远程 桌面 ， 先 连接 到 内 网 的 Terminal Server, 再 通过 该 Server 代理 访 
问 内 网 应 用 系统 。 

第 三 类 是 采用 VPN 技术 实现 与 企业 内 网 的 远程 连接 ， 进 而 在 VPN 中 访问 内 网 应 用 系 
统 。 因 此 VPN 并 不 是 远程 计算 机 访问 企业 网 络 的 唯一 途径 ， 并 不 是 必须 通过 VPN。 

【问题 2]ping 命令 通常 用 于 测试 连通 性 。 同 时, ICMP 回答 报 文中 的 TTL 代表 的 跳 数 ， 
从 255 跳 开始 , 每 经 过 一 个 路 由 器 ，TTL 值 减 1， 由 图 6-27 可 知 TTL=122, 故 已 经 过 255-122 
=133 跳 。 

【问题 3】 为 支持 RIP 动态 路 由 协议 ， 可 自己 相应 配置 ，RIP 有 两 个 版 本 ，V1 只 支持 
有 类 路 由 信息 ， 并 以 广播 的 形式 发 送 整 个 路 由 表 给 邻居 ; V2 支持 无 类 别 路 由 ， 以 组 播 的 方 
式 发 送 整 个 路 由 表 信 息 进 行路 由 收敛 。 

【问题 4】 出现 两 个 网 络 之 间 ping 不 通 但 是 其 中 一 个 网 络 能 接收 来 自 另 一 个 网 络 的 数 
据 包 的 情况 , 一般 是 采用 了 ICMP 协议 , ICMP 协议 对 于 网 络 安全 具有 极其 重要 的 意义 . ICMP 
协议 本 身 的 特点 决定 了 它 非 常 容易 被 用 于 攻击 网 络 上 的 路 由 器 和 主机 。 
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6.2.3 同步 练习 


1. 阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。(2014 年 
5 月 试题 四 ) 

【说 明 】 

茶 企业 总 部 设立 在 A 地， 在 B 地 有 分 支 机 构 ， 分 支 机 构 和 总 部 需要 在 网 络 上 进行 频繁 
的 数据 传输 。 该 企业 采用 IPSec VPN 虚拟 专用 技术 实现 分 支 机 构 和 总 部 直接 的 安全 、 快 捷 、 
经 济 的 跨 区 域 网 络 连接 。 

该 企业 网 络 拓扑 结构 如 图 6-29 所 示 。 


RouterA RouterB 


客户 机 
服务 器 172.16.1.100 


192.168.1.100 


A 地 总 部 网 络 B 地 分 支 机 构 网 络 
6-29 网 络 拓扑 结构 图 

该 企业 的 网 络 地 址 规划 及 配置 如 表 6-5 所 示 。 

表 6-5 网络 规划 地 址 配置 表 


设备 IP 地 址 
RouterA FO/0:192.168.1.1/24 
S0:202.102.100.1/30 S0:202.102.100.2/30 
总 部 服务 器 172.16.1.100/24 
【问题 1】(7 分 ) 
为 了 完成 对 RouterA 和 RouterB 远程 连接 管理 ， 以 RouterA 为 例 ， 完 成 初始 化 路 由 器 ， 
并 配置 RouterA 的 远程 管理 地 址 (192.168.1.20), 同时 开启 RouterA 的 Telent 功能 并 设置 全 局 
模式 访问 密码 ， 请 补充 下 列 配置 命令 。 


RouterA>enable 


RouterA#configure terminal 

RouterA (config)#interface f0/0 // 进 入 F0/0 的 _(1) 子 模式 
RouterR(config-if)#ip addr _(2) // 为 F0/0 接口 配置 IP 地 址 
RouterR(config-if)#no shut //_(3) F0/0 接口 ， 默认 所 有 路 由 器 的 接口 都 为 down 状态 
RouterA (config-if)#inter_(4) // 进 入 lookback0 的 接口 配置 子 模式 
RouterR(config-if)#ip addr_(5) // 为 loopback0 接口 配置 IP 地址 

RouterR (config)#_(6)_// 进 入 虚拟 接口 0-4 的 配置 子 模式 

RouterA (config-line)#password abc001// 配 置 vty 口令 为 “abc001” 
RouterA(config)#enable password abc001// 配 置 全 局 配置 模式 的 明文 密码 为 “abc001? 
RouterR (config)#enable_(7) abc001// 配 置 全 局 配置 模式 的 密 文 密码 为 “abc001” 
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【问题 2】(5 分 ) 
VPN 是 建立 在 两 个 局 域 网 出 口 之 间 的 隧道 链接 , 所 以 两 个 VPN 设备 必须 能 够 满足 内 外 
访问 互联 网 的 要 求 ， 以 及 需要 配置 NAT， 按 照 题目 要 求 ， 以 RouterA 为 例 ， 请 补充 完成 下 
列 配置 命令 。 


RouterR(config)#access-list 101 (8) ip 192.168.1.0 0.0.0.255 172.16.1.0 
人 0.0.255 

RouterR(config)#access-list 101 (9) ip 192.168.1.0 0.0.0.255 any 

// 定 义 需要 被 NAT 的 数据 流 

RouterA (config)#ip nat inside sourcelist 101 interface _(10) overload 

// 定 义 NAT 转换 关系 

RouterA (config)#int (11) 

RouterA (config-if)#ip nat inside 

RouterA (config)#int (12) 

RouterA (config-if)#ip nat outside // 定 义 NAT 的 内 部 和 外 部 


【问题 3】(4 分 ) 
配置 IPSec VPN 时 ， 要 注意 隧道 两 端的 设备 配置 参数 必须 对 应 匹配 ， 否 则 VPN 配置 将 
会 失败 ， 以 RouterB 为 例 ， 配 置 IPSec VPN， 请 完成 相关 配置 命令 。 


RouterB (config)#access-list 102 permit ip .(13) 

// 定 义 需要 经 过 VPN 加 密 传输 的 数据 流 

RouterB (config)#crypto isakmp _(14) .  // 启 用 ISAKMP (IKE) 

RouterB (config)#crypto isakmp policy 10 

RouterB (config-isakmp)#authentication pre-share 

RouterB (config-isakmp)#encryption des 

RouterB (config-isakmp)#hash md5 

RouterB (config-isakmp)#group 2 

RouterB (config)#crypto isakmp identity address 

RouterB (config)#crypto isakmp key abc001 address _(15) 

// 指 定 共享 密 钥 和 对 端 设 备 地 址 

RouterB (config)#crypto ipsec transform-set ccie esp-des esp md5 hmac 

RouterB (cfg-crypto-trans)#model tunnel 

RouterB (config)#crypto map abc001 10 ipsec-isakmp 

RouterB (config)#int _(16) 

RouterB (config) -if)#crypto map abc001 // 在 外 部 接口 上 应 用 加 密 图 

【问题 4】 

根据 题目 要 求 ， 企 业 分 支 机 构 与 总 部 之 间 采 用 IPSec VPN 技术 互联 ，IPSec(IP Security) 
是 IETE 为 保证 在 Intemet 上 传输 数据 的 安全 性 、 保 密 性 而 制定 的 框架 协议 。 该 协议 使 用 在 
(DD 层 ， 用 于 保证 和 认证 用 户 他 数据 包 。 

IPSec VPN 可 使 用 的 模式 有 两 种 ， 其 中 _(18) 模式 的 安全 性 较 强 ，_(19) 模式 的 安全 性 
较 弱 。IPSec 主要 由 AH/ESP 和 IKE 组 成 。 在 使 用 IKE 协议 时 ， 需 要 定义 IKE 协商 策略 。 
该 策略 由 _(20) 进行 定义 。 

2 阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

【说 明 】 某 企业 在 部 门 A 和 部 门 B 分 别 搭建 了 局 域 网 ， 两 局 域 网 通过 两 台 Windows 
Server 2003 服务 器 连通 , 如 图 6-30 所 示 , 要 求 采用 IPSec 安全 机 制 , 使 得 部 门 A 的 主机 PC1 
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可 以 安全 访问 部 门 B 的 服务 器 S1。 


202.113.111.1 
192.168.1.1 .202.113.110.1 


部 门 A 部 门 B 


192.168.2.1 


<S NS 
192.168.2.3  S1:192.168.2.2 


|PC1:192.168.1.2 192.168.1.3 


6-30 ”局 域 网 结构 图 


【问题 1】(3 分 ， 每 空 1 分) 
IPSec 工作 在 TCP/IP 协议 栈 的 _(D 层 , 为 TCP/IP 通信 提供 访问 控制 、 数 据 完整 性 、 数 
据 源 验证 、 抗 重 放 攻击 、 机 密 性 等 多 种 安全 服务 。IPSec 包括 AH、ESP 和 ISAKMP/Oakley 
等 协议 ， 其 中 ，_(2) 为 他 包 提供 信息 源 和 报 文 完 整 性 验证 ， 但 不 支持 加 密 服务 ，_(3) 提供 
加 密 服务 。 
【问题 2】(2 分 ) 
IPSec 支持 传输 和 隧道 两 种 工作 模式 ， 如 果 要 实现 PC1 和 S1 之 间 端 到 端的 安全 通信 ， 
则 应 该 采用 _(4) 模式 。 
【问题 3】(6 分 ， 每 空 2 分 ) 
如 果 IPSec 采用 传输 模式 , 则 需要 在 PC1 和 _(5) 上 配置 IPSec 安全 策略 。 在 PC1 的 IPSec 
“JP 筛选 器 属性 ”对 话 框 ( 见 图 6-31) 中 , 源 瑟 地址 应 设 为 (6)， 目标 他 地 址 应 设 为 (7) 。 


[rs ER- 


图 6-31 “IP 筛选 器 属性 ”对 话 框 


【问题 4】(4 分 ， 每 空 1 分 ) 

如 果 要 保护 部 门 A 和 部 门 B 之 间 所 有 的 通信 安全 ， 则 应 该 采用 隧道 模式 ， 此 时 需要 在 
ServerA 和 _(8) 上 配置 IPSec 安全 策略 ,在 ServerA 的 “JP 筛选 器 属性 ?对话 框 中 ( 见 图 6-32)， 
源 王子 网 的 卫 地 址 应 设 为 (9) ,目标 子 网 他 地 址 应 设 为 _40) ， 源 地 址 和 目标 地 址 的 子 
网 掩 码 均 设 为 255.255.255.0。ServerA 的 IPSec 规则 设置 中 ( 见 图 6-33)， 指 定 的 隧道 端点 卫 
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地 址 应 设 为 (1D 。 
下 gy 
地 址 | 协议 | 医术 | 下 基地 加 列表 | 入 和 器 换 作 | 身 从 闪 证 方法 。 院 道 设置 | 注 接 类 型 | 
Pr = = 


了 ?地 址 中 
子 网 插 码 加 : 
目标 地 址 们 :一 一 一 一 一 一 一 一 一 一 一 一 
一 个 特定 的 了 子 网 9 
理 地 址 国 : 
子 网 后 码 四 : 


灰 镜像 。 与 源 地 址 和 目标 地 址 正好 相反 的 激 盘 包 相 [EP oO)。 


mw | 
6-32 子 网 IP 地 址 的 设置 6-33 IPSec 规则 设置 


3. 阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 某 企 业 在 公司 总 部 和 分 部 之 间 采 用 两 台 Windows Server 2003 服务 器 部 署 企 
业 IPSec VPN， 将 总 部 和 分 部 的 两 个 子 网 通过 Internet 互联 ， 如 图 6-34 所 示 。 


202.113.110.1 202.113.111.1 


192.168.1、 抱 人 
革 


ServerA ServerB 


192.168.1.2 192.168.1.3 192.168.2.2 192.168.2.3 


图 6-34 总 部 和 分 部 连接 图 


【问题 1】(3 分 ) 

隧道 技术 是 VPN 的 基本 技术 , 隧道 是 由 隧道 协议 形成 的 , 常见 隧道 协议 有 IPSec、 PPTP 

和 L2TP。 其 中 _() _ 和 _(2) 属于 第 二 层 隧道 协议 ，_(3) 属于 第 三 层 隧道 协议 。 
【问题 2】(3 分 ) 

IPSec 安全 体系 结构 包括 AH、ESP 和 ISA KMP/Oakley 等 协议 。 其 中 ，_(4) 为 人 P 包 
提供 信息 源 验 证 和 报 文 完整 性 验证 ， 但 不 支持 加 密 服务 ，__(5)_ 提 供 加 密 服务 ，_(6) 提 
供 密 钥 管理 服务 。 

【问题 3】(6 分 ) 

设置 ServerA 和 ServerB 之 间 通 信 的 筛选 器 属性 界面 ,如 图 6-35 所 示 , 在 ServerA 的 IPSec 
安全 策略 配置 过 程 中 ， 当 源 地 址 和 目标 地 址 均 设置 为 “一 个 特定 的 下 子 网 ”时 ， 源 子 网 他 
地 址 应 设 为 _(7) ， 目 标 子 网 卫 地 址 应 设 为 _(8) 。 图 6-36 所 示 的 隧道 设置 中 的 隧道 终 
点 全 地 址 应 设 为 _(9) 。 


aE x 
地 址 | 协议 | 撕 术 | 本? 第 二 器 列表 | 第 迁 回 操作 | 身份 验证 方法 ，“ 降 道 设置 | 连接 类型 | 

「 源 邮 直 6) 和 
Fin = 


王 地 址 QD); 
子 风 3): 
三 目 标 地 址 @); 
[人 8 症 的 王子 网 习 
节 地 址 他): 
子 网 掩 码 四 


太 镜像。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 (0)。 


图 6-35 “IP 筛选 器 属性 ”对 话 框 图 6-36 隧道 设置 


【问题 4】(3 分 ) 
在 ServerA 的 IPSec 安全 策略 配置 过 程 中 , ServerA 和 ServerB 之 间 通 信 的 IPSec 筛选 器 
安全 设置 为 “协商 安全 ”， 并 且 安 全 措施 为 “加 密 并 保持 完整 性 ”， 如 图 6-37 所 示 。 根 据 
上 述 安全 策略 填写 图 6-38 中 的 空格 ， 表 示 完 整 的 IPSec 数据 包 格式 。 


下 
安全 撞 施 | 第 规 | 

广 订 四 

个旧 上 

协商 安全 四 

安全 措施 首选 质 序 @): 

2 生 加 四 ) 

Ci 
MD) 
EB 
sD 


厂 接受 不 安全 的 通讯 ,但 总 是 用 IPSec 响应 () 
厂 允许 和 不 支持 IPSec 的 计算 机 进行 不 安全 的 通讯 如 
厂 合用 会 话 密 角 完 全 向 前 保密 FTS) gg 


图 6-37 “新 筛选 器 操作 属性 ”对 话 杠 


新 卫 头 (10) (11) TCP 头 数据 (12) 


6-38 IPSec 数据 包 格 式 


(10)~(12) 备 选 答案 : 
A.AH 头 B.ESP 头 C. 旧 了 正 头 D. 新 TCP 头 
E.AH 尾 F.ESP 尾 G. 旧 了 亚 尾 H. 新 TCP 尾 
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6.2.4 同步 练习 参考 答案 


1. 答案 : 

【问题 1】 

(1) 接口 配置 或 端口 配置 ”(2) 192.168.1.1 255.255.255.0 ” (3) 激活 (4) lookback 0 
(5) 192.168.1.20 255.255.255.255 (6) line vty0 4 (7) secret 
【问题 2】 

(8) deny (9)permit (10)S0 (1D)F00 (12)S0 
【问题 3】 

(13) 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255 (14) enable 
(15) 202.102.100.1 ~ (16) S0 

【问题 4】 

(17) 网 络 层 ”(18) 隧道 (19) 传输 (20)ISAKMP/Oakley 
解析 : 

【问题 1】 


RouterA>enable 


RouterA#configure terminal 

RouterA(config)#interface F0/0 // 进 入 F0/0 的 接口 配置 子 模式 

RouterA(config-if}#ip addr 192.168.1.1 255.255.255.0 // 为 F0/0 接口 配置 他 址 

RouterA(config-ifD#no shut // 激 活 F0/0 接口 ， 默 认 所 有 路 由 器 的 接口 都 为 down 状态 

RouterA(config-i#inter loopback 0 // 进 入 lookback0 接口 配置 子 模式 

RouterA(config-if)#ip addr 192.168.1.20 255.255.255.255 // 为 lookback0 接口 配置 全 地 址 

RouterA(config)#iine vty0 4 // 进 入 虚拟 接口 0-4 的 配置 子 模式 

RouterA(config-line)#password abc001 /配置 vty 口令 为 “abc001” 

RouterA(config)#enable password abc001 // 配 置 全 局 配置 模式 的 明文 密码 为 “abc001” 

RouterA(config)j# enable secret abc001 // 配 置 全 局 配置 模式 的 密 文 密码 为 “abc001” 
【问题 2】 

RouterA(config)#access-list 101 deny ip 192.158.1.0 0.0.0.255 172.15.1.0 0.0.0.255 

// 拒 绝 来 自 192.168.1.0/24 去 往 172.16.1. 0/24 网 络 的 流量 

RouterA(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any 

// 定 义 要 被 NAT 的 数据 流 

RouterA(config)#ip nat inside source list 101 interface S0 overload 

/INAT 转换 关系 (匹配 ACL101 的 数据 流 都 翻译 成 S0 接口 的 公 网 卫 地 址 ， 此 为 地 址 伪装 ) 

RouterA(config)#int FO/0 

RouterA(config-if)#ip nat inside /定义 NAT 的 内 部 接口 

RouterA(config)#int SO 

RouterA(config-if)##ip nat outside // 定 义 NAT 的 外 部 接口 
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【问题 3】 
RouterB(config)#access-list 102 permit ip 172.15.1.0 0.0.0.255 192.168.1.0 0.0.0.255 
// 定 义 要 通过 VPN 加 密 传 输 的 数据 流 
RouterB(config)#crypto isakmp enable /启用 ISAKMP(IKE) 
RouterB(config)#crypto isakmp policy 10 /建立 IKE 协商 策略 
RouterB(config-isakmp)#authentication pre-share /使 用 预定 义 密 铀 
RouterB(config-isakmp)#encryption des /加 密 算 法 
RouterB(config-isakmp)#hashmd5 VWHASH 算法 
RouterB(config-isakmp)#group2 // 设 置 1024 位 Diffie-Hellman 非 对 称 加 密 算 法 
RouterB(config)#crypto isakmp identity address 
// 指 定 ISAKMP 与 分 部 路 由 器 进行 身份 认证 时 使 用 他 地址 作为 标志 
RouterB(config)#crypto isakmp key abc001 address 202.102.100.1 
// 指 定 共享 密 钥 和 对 端 设备 地 址 
RouterB(config)#crypto ipsect ransform-set ccie esp-des esp-md5-hmac 
// 配 置 ipsec 交换 集 模式 
RouterB(cfgcrypto-trans)#model tunnel // 配 置 隧道 模式 
RouterB(config)#crypto map abc001 10 ipsec-isakmp // 配 置 加 密 图 
RouterB(config)#int SO 
RouterB(config-if)#crypto map abc001 // 在 外 部 接口 上 应 用 加 密 
【问题 4] 
Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ， 通 过 使 用 加 密 的 安全 服务 以 确 
保 在 Internet 协议 (IP) 网 络 上 进行 保密 而 安全 地 通信 。 
IPSec 协议 工作 在 OSI 模型 的 第 三 层 (网 络 层 ) 使 其 在 单独 使 用 时 适 于 保护 基于 TCP 或 
UDP 的 协议 (如 安全 套 接 子 层 (SSL) 就 不 能 保护 UDP 层 的 通信 流 )。 
IPSec VPN 可 使 用 的 模式 有 两 种 : 隧道 模式 和 传输 模式 。 
隧道 (tunnel) 模 式 : 用 户 的 整个 他 数据 包 被 用 来 计算 AH 或 ESP 头 ，AH 或 ESP 头 以 及 
ESP 加 密 的 用 户 数 据 被 封装 在 一 个 新 的 他 数据 包 中 。 通 常 ， 隧 道 模 式 应 用 在 两 个 安全 网 关 
之 间 的 通信 。 
传输 (transport) 模 式 : 只 是 传输 层 数 据 被 用 来 计算 AH 或 ESP 头 ,AH 或 ESP 头 以 及 ESP 
加 密 的 用 户 数据 被 放 在 原 卫 数据 包 后 面 。 通 常 ， 传 输 模 式 应 用 在 两 台 主 机 之 间 的 通信 ， 或 
一 台 主机 和 一 个 安全 网 关 之 间 的 通信 。 
二 者 相对 而 言 ， 隧 道 模式 安全 性 高 于 传输 模式 。 
在 使 用 IKE 协议 时 ， 需 要 定义 IKE 协商 策略 ， 该 策略 由 ISAKMP/Oakley 进行 定义 。 
2. 答案 : 
【问题 1】 
(1) 网 络 (2)AH (3)ESP 
【问题 2】 
(4) 传输 
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【问题 3】 

(5) S1 (6) 192.168.1.2 (7) 192.168.2.2 

【问题 4】 

(8) ServerB (9)192.168.1.0 (10)192.168.2.0 (11)202.113.111.1 
解析 : 


【问题 1】IPSec(Security Architecture for IP Network, IP 层 协 议 安 全 结构 ) 工 作 在 TCP/IP 
协议 栈 的 网 络 层 。 IPSec 认证 头 (AH) 提 供 了 数据 完整 性 和 数据 源 认 证 ， 但 不 提供 保密 服务 ; 
JPSec 封装 安全 负荷 (ESP) 提 供 了 数据 加 密 功 能 ， 它 利用 对 称 密 钥 对 人 P 数据 进行 加 密 。 

【问题 2】 IPSec 提供 了 两 种 模式 ， 即 传输 模式 和 隧道 模式 。 在 传输 模式 中 ，IPSec 认 
证 头 (AH) 或 IPSec 封装 安全 负荷 (ESP) 头 插入 原来 的 IP 头 之 后 ; 而 在 隧道 模式 中 ，IPSec 用 
新 的 人 P 头 封装 了 原来 的 全 数据 报 。 

【问题 3】 由 图 6-30 可 知 ， 在 PC1 和 S1 上 配置 安全 策略 ， 源 他 地 址 即 PC1 的 人 P 地 
址 192.168.1.2， 目 标 卫 地 址 即 S1 的 他 地 址 192.168.2.2。 

【问题 4】 由 图 6-30 可 知 ， 采 用 隧道 模式 需要 在 ServerA 和 ServerB 上 配置 安全 策略 ， 
源 下 子 网 的 IP 地 址 ，(9) 和 (10) 分 别 是 ServerA 和 ServerB 所 对 应 的 网 段 卫 地址， 分 别 为 
192.168.1.0 和 192.168.2.0， 隧 道 端点 卫 地 址 如 图 6-30 所 示 为 202.113.111.1。 

3. 答案 : 
【问题 1】 
(DPPTIP (2)L2TP (3)IPSec 
说 明 : (1) 和 (2) 答 案 可 调换 。 
【问题 2】 
(WAH (5)ESP (6)ISAKMP/Oakley 
【问题 3】 
(7) 192.168.1.0 (8) 192.168.2.0 (9) 202.113.111.1 
【问题 4】 
(10)B (DC (12)F 
解析 : 

【问题 1】 本 题 考查 VPN 隧道 技术 的 基本 概念 ， 这 里 不 作 详细 的 解析 。 

【问题 2〗】 本 题 考查 IPSec 协议 组 的 功能 。 

【问题 3】 源 子 网 他 地 址 为 ServerA 连接 的 内 网 网 络 地 址 , 由 图 6-34 可 知 为 192.168.1.0; 
目标 子 网 IP 地 址 应 为 ServerB 连接 的 内 网 网 络 地 址 ， 由 图 6-34 可 知 为 192.168.2.0。 

隧道 设置 中 的 隧道 终点 卫 地 址 应 设置 为 服务 器 ServerB 的 外 网 地 址 , 为 202.113.111.1。 

【问题 4】 题目 中 要 求 安 全 措施 为 “加 密 并 保持 完整 性 ”。IPSec 封装 安全 负荷 (ESP) 提 
供 了 数据 加 密 功能 和 数据 完整 性 认证 。 在 隧道 模式 下 ，IPSec 对 原来 的 IP 数据 报 进行 了 封 
装 和 加 密 ， 加 上 了 新 的 卫 头 ， 其 格式 如 下 。 


新 IP 头 | ESP 头 | 原来 的 下 头 | TCP 头 | 数据 | ESP 尾 
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6.3 病毒 防护 


6.3.1 考点 辅导 


6.3.1.1 计算 机 病毒 

所 谓 病 毒 是 指 一 段 可 执行 的 程序 代码 ， 它 通过 对 其 他 程序 进行 修改 ， 来 感染 这 些 程序 
使 其 含有 该 病毒 程序 的 一 个 复制 。 病 毒 可 以 做 其 他 程序 所 做 的 任何 事 ， 唯 一 的 区 别 在 于 它 
将 自己 附 在 另 一 个 程序 上 ， 并 且 在 宿主 程序 运行 时 秘密 执行 。 一 旦 病毒 执行 时 ， 它 可 以 完 
成 任何 功能 ， 例 如 删除 文件 和 程序 等 。 

大 多 数 病毒 按照 一 种 与 特定 操作 系统 有 关 的 ， 或 者 在 某 种 情况 下 ， 与 特定 硬件 平台 有 
关 的 方式 来 完成 它们 的 工作 。 因 此 ， 它 们 可 以 被 设计 成 利用 特定 系统 的 细节 和 漏洞 工作 。 


6.3.1.2 ”病毒 的 类 型 
计算 机 病毒 的 分 类 有 很 多 种 ， 最 常见 的 分 类 方法 是 按照 寄生 方式 和 传染 途径 分 类 。 计 


算 机 病毒 按 其 寄生 方式 大 致 可 分 为 两 类 : 一 是 引导 型 病毒 ， 二 是 文件 型 病毒 ， 混 合 型 病毒 
集 这 两 种 病毒 特性 于 一 体 。 

1. 引导 型 病毒 

引导 型 病毒 会 去 感染 磁盘 上 引导 扇 区 的 内 容 (软盘 或 硬盘 都 有 可 能 感染 病毒 ), 或 者 改写 
硬盘 上 的 分 区 表 (FAT)。 如 果 用 启动 已 感染 病毒 的 软盘 的 话 ， 则 会 感染 硬盘 。 

2. 文件 型 病毒 

文件 型 病毒 主要 以 感染 文件 扩展 名 为 .com、.exe 和 .vol 等 可 执行 程序 为 主 。 它 的 安装 必 
须 借助 于 病毒 的 载体 程序 ， 即 要 运行 病毒 的 载体 程序 ， 方 能 把 文件 型 病毒 引入 内 存 。 已 感 
染病 毒 的 文件 执行 速度 会 减缓 ， 甚 至 无 法 执行 。 有 些 文件 遭 感 染 后， 一 执行 就 会 遭 到 删除 。 

3. 宏 病 毒 

宏 病 毒 (文件 型 病毒 的 一 种 ) 是 一 种 寄存 于 文档 或 模板 (Word 或 Excel) 的 宏 中 的 计算 机 病 
毒 。 一 旦 打开 被 感染 的 文档 ， 宏 病毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 
上 。 从 此 以 后 ， 所 有 自动 保存 的 文档 都 会 被 感染 上 这 种 病毒 ， 如 果 其 他 用 户 打开 了 感染 病 
毒 的 文档 ， 病 毒 就 会 转移 到 其 他 计算 机 上 。 

4. 混合 型 病毒 

混合 型 病毒 综合 引导 型 病毒 和 文件 型 病毒 的 特性 ， 它 的 破坏 性 也 比 引导 型 和 文件 型 病 
毒 更 强 。 这 种 病毒 通过 这 两 种 方式 来 感染 ， 更 增加 了 病毒 的 传染 性 以 及 存活 率 。 不 管 以 哪 
种 方式 传染 ， 计 算 机 只 要 中 毒 就 会 在 开机 或 执行 程序 时 感染 其 他 磁盘 或 文件 。 这 种 病毒 也 
是 最 难 清除 的 。 

6.3.1.3 ”计算 机 病毒 的 防护 

网 络 反 病 毒 技术 包括 预防 病毒 、 检 测 病毒 和 消毒 三 种 技术 。 
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1. 预防 病毒 技术 

预防 病毒 技术 是 指 通过 自身 长 驻 系统 内 存 ， 优 先 获得 系统 的 控制 权 ， 监 视 和 判断 系统 
中 是 否 有 病毒 存在 ， 进 而 阻止 计算 机 病毒 进入 计算 机 系统 对 系统 进行 破坏 。 这 类 技术 有 : 
加 密 可 执行 程序 、 引 导 区 保护 、 系 统 监 控 与 读 写 控制 。 

2. 检测 病毒 技术 

检测 病毒 技术 是 指 通 过 对 计算 机 病毒 的 特征 来 进行 判断 的 技术 。 如 自身 校 验 、 关 键 字 
和 文件 长 度 的 变化 等 。 

3. 消毒 技术 

消毒 技术 是 指 通过 对 计算 机 病毒 的 分 析 而 开发 出 的 具有 删除 病毒 程序 并 恢复 原样 的 软件 。 

网 络 反 病毒 技术 的 具体 实现 方法 包括 对 网 络 服务 器 中 的 文件 进行 频繁 的 扫描 和 检测 ， 
在 工作 站 上 用 防 病毒 芯片 和 对 网 络 目录 以 及 文件 设置 访问 权限 等 。 

6.3.1.4 ”ARP 概念 及 攻击 类 型 和 防护 原理 

1. ARP 的 概念 


ARP 的 全 称 是 Address Resolution Protocol， 中 文 名 为 地 址 解析 协议 ， 它 工作 在 数据 链 
路 层 ， 发 的 是 广播 (MAC 地 址 为 FF-FF-FF-FF-FF-FF)。 在 数据 传输 过 程 中 ， 数 据 要 封装 成 以 
太 网 帧 (其 帧 格式 如 图 6-39 所 示 )， 当 需要 目的 MAC 地 址 时 ， 就 通过 ARP 广播 来 请 求 。 


类 

型 帧 校 验 
目的 地 址 ni 数据 序列 
| 面 量 而 加 一 加 克 加 沽 加 天 因 : 111 


6 字 节 6 字 节 ”2 字 节 46 ~1500 字 节 。 4 字 节 
中 中 -小 十 一 一 | 


图 6-39 标准 以 太 网 帧 格式 

2. ARP 的 工作 原理 

在 OSI 七 层 模型 中 ， 曾 讲 到 数据 在 传输 的 过 程 中 要 进行 不 断 地 封装 与 解 封装 。 当 封装 
到 第 二 层 数据 链 路 层 时 ， 需 要 知道 源 MAC 地 址 与 目的 MAC 地 址 ， 源 MAC 地 址 是 自己 网 
卡 的 , 那么 目的 MAC 地 址 如 何 得 到 呢 ? 这 时 就 需要 主机 发 一 个 ARP 广播 来 请 求 目的 全 所 
对 应 的 MAC 地 址 ， 当 目的 主机 与 本 机 在 同一 个 网 段 时 ， 就 能 收 到 广播 ， 给 出 单 播 回应 ; 当 
目的 主机 在 另外 一 个 网 段 时 ， 三 层 设备 不 转发 广播 ， 目 的 主机 收 不 到 请 求 ， 就 不 能 回应 ， 
那 怎 么 办 呢 ? 这 时 ， 主 机 的 网 关 就 会 将 自己 的 MAC 地 址 回应 给 主机 ， 这 叫 代理 ARP。 

例如 : 

A 的 地 址 为 IP: 192.168.10.11/24; MAC: AA-AA-AA-AA-AA-AA。 

B 的 地 址 为 IP: 192.168.10.12 /24; MAC: BB-BB-BB-BB-BB-BB。 

A 与 B 的 网 关 IP: 192.168.10.1/24; MAC: CC-CC-CC-CC-CC-CC。 


A 向 B 发 包 时 
全 包头 中 : 源 下 为 192.168.10.11， 目的 他 为 192.168.10.12。 
以 太 网 帧 头 中 : 源 MAC 为 AA-AA-AA-AA-AA-AA, 目的 MAC 为 BB-BB-BB-BB-BB-BB。 
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A 向 192.168.20.2/24 发 包 时 

全 包头 中 : 源 卫 为 192.168.10.11， 目 的 卫 为 192.168.20.2。 

以 太 网 帧 头 中 : 源 MAC 为 AA-AA-AA-AA-AA-AA, 目的 MAC 为 CC-CC-CC-CC-CC-CC。 

3. 常见 ARP 攻击 类 型 

1) ”ARP 扫描 (ARP 请 求 风 暴 ) 

(1) 通信 模式 : 请 求 一 请 求 一 请 求 一 请 求 一 请 求 一 请 求 一 应 答 一 请 求 一 请 求 一 请 求 …… 

(2) 描述 : 网 络 中 出 现 大 量 的 ARP 请 求 广播 包 ， 几 乎 都 是 对 网 段 内 的 所 有 主机 进行 扫 
描 。 大 量 的 ARP 请 求 广播 可 能 会 占用 网 络 带宽 资源 ，ARP 扫描 一 般 为 ARP 攻击 的 前 奏 。 

(3) 出 现 原 因 : 病毒 程序 、 侦 听 程序 、 扫 描 程序 。 

2) ARP 欺骗 

ARP 协议 并 不 只 在 发 送 了 ARP 请 求 后 才 接 收 ARP 应 答 。 当 计算 机 接收 到 ARP 应 答 数 
据 包 的 时 候 ， 就 会 对 本 地 的 ARP 缓存 进行 更 新 ， 将 应 答 中 的 卫 和 MAC 地 址 存储 在 ARP 
缓存 中 。 所 以 在 网 络 中 , 如 果 有 人 发 送 一 个 自己 伪造 的 ARP 应 答 , 网 络 可 能 就 会 出 现 问题 。 

假设 一 个 网 络 环境 中 ， 网 内 有 三 台 主 机 ， 分 别 为 主机 A、B、C。 

主机 详细 信息 描述 如 下 。 

A 的 地 址 为 : 卫 地 址 是 192.168.10.1，MAC 地 址 是 AA-AA-AA-AA-AA-AA。 

B 的 地 址 为 : PP 地 址 是 192.168.10.2，MAC 地 址 是 BB-BB-BB-BB-BB-BB。 

C 的 地 址 为 : 卫 地 址 是 192.168.10.3，MAC 地 址 是 CC-CC-CC-CC-CC-CC。 

正常 情况 下 A 和 C 之 间 进 行 通信 ， 但 是 此 时 B 向 A 发 送 一 个 自己 伪造 的 ARP 应 答 ， 
而 这 个 应 答 中 的 数据 为 “发 送 方 IP 地 址 是 192.168.10.3(C 的 人 P 地 址 )，MAC 地 址 是 
BB-BB-BB-BB-BB-BB(C 的 MAC 地 址 本 来 应 该 是 CC-CC-CC-CC-CC-CC, 这 里 被 伪造 了 )”。 
当 A 接收 到 B 伪造 的 ARP 应 答 ， 就 会 更 新 本 地 的 ARP 缓存 (A 被 欺骗 了 )， 这 时 B 就 伪装 
成 C 了 。 同 时 ，B 同样 向 C 发 送 一 个 ARP 应 答 ， 应 答 包 中 发 送 方 卫 地 址 是 192.168.10.1(A 
的 全 地 址 )，MAC 地 址 是 BB-BB-BB-BB-BB-BB(A 的 MAC 地 址 本 来 应 该 是 
AA-AA-AA-AA-AA-AA)， 当 C 收 到 B 伪造 的 ARP 应 答 ， 也 会 更 新 本 地 ARP 缓存 (C 也 被 
欺骗 了 )， 这 时 B 就 伪装 成 了 A。 这 样 主机 A 和 C 都 被 主机 B 欺骗 ，A 和 C 之 间 通 信 的 数 
据 都 经 过 了 B。 主 机 B 完全 可 以 知道 它们 之 间 说 的 什么 。 这 就 是 典型 的 ARP 欺骗 过 程 。 

ARP 欺骗 存在 两 种 情况 ， 一 种 是 欺骗 主机 作为 “中 间 人 ”， 被 欺骗 主机 的 数据 都 经 过 
它 中 转 一 次 ， 这 样 欺骗 主机 可 以 窃取 到 被 它 欺骗 的 主机 之 间 的 通信 数据 ， 另 一 种 是 让 被 欺 
骗 主 机 直接 断 网 。 

(1) 第 一 种 窃取 数据 ( 嗅 探 )。 

中 通信 模式 : 应 答 一 应 答 一 应 答 一 应 答 一 应 答 一 请 求 一 应 答 一 应 答 一 请 求 一 应 


@ 描述 ， 这 种 情况 就 属于 上 面 所 说 的 典型 的 ARP 其 观 ， 坎 骗 主机 向 被 欺骗 主 机 发 送 
大 量 伪造 的 ARP 应 答 包 进行 欺骗 ， 当 通信 双方 被 区 骗 成 功 后 ， 自 己 成 为 一 个 “中 间 人 ”。 
此 时 被 炊 驴 的 主机 双方 还 能 正常 通信 ， 只 不 过 在 通信 过 程 中 被 钦 驴 者 “窃听 ”了 。 

@ ”出现 原因 木马 病毒 、 噢 探 和 人 为 炊 驴 。 

CO) 第 二 种 ， 导致 网 。 

@ ”通信 模式 ， 应 答 一 应 答 一 应 答 一 应 答 一 应 答 一 应 答 一 请 求 …… 
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@ ”描述 : 这 类 情况 就 是 在 ARP 欺骗 过 程 中 ， 欺 骗 者 只 欺骗 了 其 中 一 方 ,如 B 欺骗 了 
A, 但 是 同时 B 没有 对 C 进行 欺骗 ,这 样 A 实质 上 是 在 和 B 通信 ， 所 以 A 就 不 能 和 C 通信 
了 ， 另 外 一 种 情况 就 是 欺骗 者 还 可 能 伪造 一 个 不 存在 的 地 址 进行 欺骗 。 

图 出 现 原因 : 木马 病毒 、 人 为 破坏 和 一 些 网 管 软件 的 控制 功能 。 

4. 常用 的 防护 方法 

目前 对 于 ARP 攻击 防护 主要 有 两 种 方法 ， 一 种 是 绑 定 他 和 MAC， 另 一 种 是 使 用 ARP 
防护 软件 。 另 外 ， 也 出 现 了 具有 ARP 防护 功能 的 路 由 器 。 我 们 来 了 解 一 下 前 两 种 方法 。 


1) 静态 绑 定 
最 常用 的 方法 就 是 进行 IP 和 MAC 静态 绑 定 ， 在 网 内 把 主机 和 网 关 都 进行 卫 和 MAC 
绑 定 。 


欺骗 是 通过 ARP 动态 实时 的 规则 欺骗 内 网 机 器 , 所 以 把 ARP 全 部 设置 为 静态 , 这样 可 
以 解决 对 内 网 PC 的 欺骗 , 同时 在 网 关 也 要 进行 全 和 MAC 的 静态 绑 定 , 这 样 双向 绑 定 才 比 
较 保 险 。 

静态 绑 定 方法 如 下 。 

对 每 台 主机 进行 全 和 MAC 地 址 静态 绑 定 。 

通过 命令 arp -s 可 以 实现 卫 和 MAC 地 址 的 静态 绑 定 。 

例如 ， 使 用 arp -s 命令 ， 实 现 他 地 址 192.168.10.1 和 物理 地 址 AA-AA-AA-AA-AA-AA 
之 间 的 静态 绑 定 。 

"arp -s 192.168.10.1 AA-AA-AA-AA-AA-AA" 


如 果 设 置 成 功 ， 在 PC 上 面 执行 arp -a 时 可 以 看 到 以 下 相关 的 提示 。 

Internet Address Physical Address Type 

192.168.10.1 AA-AA-AA-AA-AA-AA static (静态 ) 

注意 : 一 般 不 绑 定 ， 在 动态 的 情况 下 提示 如 下 。 

Internet Address Physical Address Type 

192.168.10.1 AA-AA-AA-AA-AA-AA dynamic (动态 ) 

说 明 : 如 果 网 络 中 有 很 多 主机 ， 如 500 台 、1000 台 等 ， 如 果 对 每 一 台 都 去 做 静态 绑 定 ， 
工作 量 是 非常 大 的 。 这 种 静态 绑 定 ， 在 电脑 每 次 重启 后 ， 都 必须 重新 再 绑 定 ， 虽 然 也 可 以 
做 一 个 批 处 理 文件 ， 但 还 是 比较 麻烦 。 

2) 使 用 ARP 防护 软件 

目前 关于 ARP 类 的 防护 软件 出 得 比较 多 ， 比 较 常用 的 主要 有 ARP 工具 和 Antiarp 等 。 
它们 除了 本 身 可 以 检测 出 ARP 攻击 外 ， 防 护 的 工作 原理 是 以 一 定 频率 向 网 络 广播 正确 的 
ARP 信息 。 


6.3.2 ”典型 例题 分 析 


阅读 以 下 说 明 ， 回 答 问题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 
【说 明 】 2007 年 春 ，ARP 木马 大 范围 流行 。 木 马 发 作 时 ， 计 算 机 网 络 连接 正常 却 无 
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法 打开 网 页 。 由 于 ARP 木马 发 出 大 量 欺 骗 数 据 包 ， 导 致 网 络 用 户 上 网 不 稳定 ， 甚 至 网 络 短 
时 瘫痪 。 
【问题 1】(2 分 ) 
ARP 木马 利用 _(1) 协议 设计 之 初 没 有 任何 验证 功能 这 一 漏洞 而 实施 破坏 。 
【问题 2】(3 分 ) 
在 以 太 网 中 ， 源 主机 以 _(2) 方式 向 网 络 发 送 含有 目的 主机 人 P 地 址 的 ARP 请 求 包 ; 目 
的 主机 或 另 一 个 代表 该 主机 的 系统 ， 以 _(3) 方式 返回 一 个 含有 目的 主机 IP 地 址 及 其 MAC 
地 址 对 的 应 答 包 。 源 主机 将 这 个 地 址 对 缓存 起 来 ， 以 节约 不 必要 的 ARP 通信 开销 。ARP 协 
议 _(4) 必须 在 接收 到 ARP 请 求 后 才 可 以 发 送 应 答 包 。 


(2) 备 选 答案 : 

A. 单 播 B. 多 播 C. 广播 D. 任意 播 
(3) 备 选 答案 : 

A. 单 播 B. 多 播 C. 广播 D. 任意 播 
(4) 备 选 答案 : 

A. 规定 B. 没有 规定 


【问题 3】(6 分 ) 
ARP 木马 利用 感染 主机 向 网 络 发 送 大 量 虚假 ARP 报 文 ， 主 机 _(5) 导致 网 络 访问 不 稳 
定 。 例如， 向 被 攻击 主机 发 送 的 虚假 ARP 报 文中 ,目的 下 地 址 为 _(6)， 目的 MAC 地 址 为 
_(7) ， 这 样 会 将 同 网 段 内 其 他 主机 发 往 网 关 的 数据 引 向 发 送 虚 假 ARP 报 文 的 机 器 ， 并 抓 
取 数 据 包 截取 用 户口 令 信 息 。 
(5) 备 选 答案 : 
A. 只 有 感染 ARP 木马 时 才 会 
B. 没有 感染 ARP 木马 时 也 有 可 能 
C. 感染 ARP 木马 时 一 定 会 
D. 感染 ARP 木马 时 一 定 不 会 


(6) 备 选 答案 : 
A. 网 关 下 地 址 B. 感染 木马 的 主机 下 地 址 
C. 网 络 广播 全 地址 D. 被 攻击 主机 下 地 址 
(7) 备 选 答案 : 
A. 网 关 MAC 地 址 B. 被 攻击 主机 MAC 地 址 
C. 网 络 广播 MAC 地 址 D. 感染 木马 的 主机 MAC 地 址 


【问题 4】(4 分 ) 
网 络 正常 时 ， 运 行 如 下 命令 ， 可 以 查看 主机 ARP 缓存 中 的 人 P 地 址 及 其 对 应 的 MAC 
地 址 。 
C:\>arp (8) 
(8) 备 选 答案 ; 
A.-s B. -d C. -all D. -a 


假设 在 某 主 机 运行 上 述 命令 后 ， 显 示 如 图 6-40 所 示 信息 。 


Type 
dmanic 


图 6-41 命令 显示 信息 
当 发 现 主机 ARP 缓存 中 的 MAC 地 址 不 正确 时 ， 可 以 执行 如 下 命令 清除 ARP 缓存 。 
C:\>ARP _(9) 
(0) 备 选 答案 : 


A. -s B. -d C. -all D. -a 
之 后 ， 重 新 绑 定 MAC 地 址 ， 命 令 如 下 。 


C:\>ARP -s _(10) _(LD 


(10) 备 选 答案 : 
A. 172.30.0.1 B. 172.30.1.13 
C. 00-10-db-92-aa-30 D. 00-10-db-92-00-31 
(11) 备 选 答案 : 
A. 172.30.0.1 B. 172.30.1.13 
C. 00-10-db-92-aa-30 D. 00-10-db-92-00-31 
答案 : 
【问题 1】 
(1) ARP 或 地 址 解析 协议 
【问题 2】 
CC GA (DB 
【问题 3】 
(G)B (OA DD 
【问题 4】 
(WD (9)B (IDOA (DC 
解析 : 


本 题 考 查 的 是 有 关 ARP 协议 和 ARP 攻击 的 基础 知识 ， 以 及 对 ARP 攻击 进行 简单 处 理 
所 需要 掌握 的 基础 知识 。 

【问题 1】 本 问题 考查 ARP 攻击 的 基本 原理 。ARP 木马 利用 ARP 协议 在 设计 之 初 没 
有 任何 验证 功能 这 一 漏洞 而 实施 破坏 。 

【问题 2〗 源 主机 以 广播 方式 向 网 络 发 送 含有 目的 主机 卫 地 址 的 ARP 请 求 包 ; 目的 
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主机 或 另 一 个 代表 该 主机 的 系统 ， 以 单 播 方式 返回 一 个 含有 目的 主机 IP 地址 及 其 MAC 地 
址 对 的 应 答 包 。 源 主机 将 这 个 地 址 对 进行 缓存 ， 以 节约 不 必要 的 ARP 通信 开销 。ARP 协议 
没有 规定 必须 在 接收 到 ARP 请 求 后 才 可 以 发 送 应 答 包 ， 这 也 是 ARP 协议 的 重要 漏洞 之 一 。 

【问题 3】 感染 ARP 木马 的 主机 会 向 网 络 发 送 大 量 虚 假 ARP 报 文 ， 影 响 其 他 主机 正 
常 上 网 。 因 此 ， 如 果菜 个 主机 没有 感染 ARP 木马 ， 有 可 能 受 其 他 感染 木马 的 主机 发 送 的 虚 
假 报 文 的 影响 而 导致 网 络 访问 不 稳定 。 本 问题 中 的 例子 是 一 个 典型 的 ARP 木马 攻击 方式 ， 
感染 ARP 木马 的 主机 向 被 攻击 主机 发 送 的 虚假 ARP 报 文中 ， 目 的 全 地 址 为 网 关 人 P 地 址 ， 
目的 MAC 地 址 为 感染 木马 的 主机 MAC 地 址 , 会 将 同 网 段 内 其 他 主机 发 往 网 关 的 数据 引 向 
发 送 虚 假 ARP 报 文 的 机 器 。 

【问题 4】 本 问题 考查 使 用 命令 行 工具 ARP 配置 Windows， 解 决 ARP 攻击 的 技能 。 

在 TCP/IP 中 , ARP 是 一 种 利用 本 地 网 络 上 的 广播 通信 和 解析 到 达 其 物理 硬件 的 以 逻辑 方 
式 分 配 的 人 P 地址 或 媒体 访问 控制 层 地 址 的 协议 。 

ARP 缓存 中 包含 一 个 或 多 个 表 , 它们 用 于 存储 他 地址 及 其 经 过 解析 的 以 太 网 或 令 牌 环 
物理 地 址 。 计 算 机 上 安装 的 每 一 个 以 太 网 或 令 牌 环 网 络 适 配器 都 有 自己 单独 的 表 。 如 果 在 
没有 参数 的 情况 下 使 用 ， 则 arp 命令 将 显示 帮助 信息 。 

语法 与 相关 参数 如 下 。 

% -a[InetAddr] [-N IfaceAddr]: 显示 指定 全 地 址 的 ARP 缓存 项 , 要 使 用 带 有 InetAddr 

参数 的 arp -a， 此 处 的 InetAddr 代表 指定 的 人 P 地 址 。 要 显示 指定 接口 的 ARP 缓存 
表 ， 使 用 -N Iface-Addr 参数 ， 此 处 的 IfaceAddr 代表 分 配给 指定 接口 的 卫 地 址 。 
-N 参数 分 大 小 写 。 
4 儿 -g[InetAddr] [-N IfaceAddr]: 与 -a 相同。 
-d InetAddr [IfaceAddr]: 删除 指定 的 卫 地 址 项 ， 此 处 的 InetAddr 代表 卫 地 址 。 对 
于 指定 的 接口 ， 要 删除 表 中 的 某 项 ， 请 使 用 IfaceAddr 参数 ， 此 处 的 IaceAddr 代 
表 分 配给 该 接口 的 IP 地 址 。 要 删除 所 有 项 ， 请 使 用 星 号 (9 通配符 代替 InetAddr。 

% -s InetAddr EtherAddr [IfaceAddr]: 向 ARP 缓存 添加 可 将 全 地 址 InetAddr 解析 成 
物理 地 址 EtherAddr 的 静态 项 。 要 向 指定 接口 的 表 添 加 静态 ARP 缓存 项 ， 请 使 用 
IfaceAddr 参数 ， 此 处 的 IaceAddr 代表 分 配给 该 接口 的 下地 址 。 

InetAddr 和 IfaceAddr 的 IP 地 址 用 带 圆 点 的 十 进 制 记 数 法 表示 。 

物理 地 址 EtherAddr 由 六 个 字 节 组 成 , 这 些 字 节 用 十 六 进 制 记 数 法 表示 并 且 用 连 字符 隔 
开 ( 如 00-AA-00-4F-2A-9C)。 

由 本 题 可 知 网 关 的 IP 为 172.30.0.1， 相 对 应 的 正确 的 物理 地 址 为 00-10-db-92-aa-30。 要 
添加 将 他 地 址 172.30.0.1 解析 成 物理 地 址 00-10-db-92-aa-30 的 静态 ARP 缓存 项 ， 可 输入 : 


arp -s 172.30.0.1 00-10-db-92-aa-30 


6.3.3 同步 练习 


计算 机 病毒 的 常见 类 型 有 哪些 ? 其 工作 原理 是 什么 ? 举例 说 明 。 
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6.3.4 同步 练习 参考 答案 


答案 : 见 6.3.1.2 节 。 
6.4 本 章 小 结 


本 章 知识 点 在 2014 年 的 新 大 纲 中 变化 较 大 ， 增 加 了 网 络 安全 方面 的 内 容 ， 包 括 访问 控 
制 与 防火 墙 、 数 字 证 书 、VPN 配置 、PGP 和 病毒 防护 。 

本 章 主要 要 求 考生 掌握 防火 墙 的 知识 和 访问 控制 策略 ， 包 括 ACL 命令 、 过 滤 规则 和 
Cisco PIX 防火 墙 的 配置 ， 考 生还 要 掌握 VPN 的 实现 与 配置 ， 还 有 一 些 病毒 防护 的 知识 。 

本 章 内 容 为 下 午 科目 的 重点 内 容 ， 为 每 次 考试 的 必 考 内 容 。 其 中 防火 墙 的 配置 和 VPN 
是 考试 重点 ， 尤 其 是 ACL 和 VPN 的 实现 是 每 年 必 考 内 容 。 本 章 的 每 小 节 针对 考试 大 纲 ， 
组 织 了 近 5 年 来 的 真题 和 小 部 分 模拟 题 ， 这 些 题目 将 有 助 于 考生 理解 和 掌握 大 纲 中 的 知 
识 点 。 
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